Autres tâches de configuration supplémentaires Réponse aux incidents de sécurité

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 10 minutes de lecture

    • Si vous êtes administrateur dans le domaine global, vous configurez la manière dont Réponse aux incidents de sécurité vous gérez les opérations quotidiennes.

    Avant de commencer

    Rôle requis : sn_si.admin
    Remarque :

    Ces options sont standard dans de nombreuses applications de gestion des services et, en tant que telles, elles utilisent la terminologie de gestion des services. Par exemple, Demande est utilisé pour la tâche principale (c’est-à-dire l’incident de sécurité) et Tâche est utilisé pour les sous-tâches ou les tâches de réponse.

    Si vous êtes administrateur dans un domaine inférieur au domaine global, vous pouvez afficher l’écran Configurations, mais vous ne pouvez pas modifier les paramètres.

    Procédure

    1. Accédez à la Tout > Incident de sécurité > Administration > Configuration.
      Les options de configuration des applications sont organisées sous les onglets suivants :
      • L'onglet Processus de gestion contient des options pour configurer le cycle de vie de la demande, créer des catalogues et des demandes et configurer des notifications.
      • L'onglet Affectation contient des options pour configurer l'affectation manuelle et automatique.
      • L'onglet Compléments contient des options pour l'activation de la base de connaissances, des documents gérés et des activités de tâches.
    2. Renseignez les champs de l’onglet Processus de gestion .
      Tableau 1. Écran de configuration : onglet Processus business
      Champ Description
      Cycle de vie.
      Des notes de travail sont requises pour fermer ou annuler une demande ou une tâche Activez cette option pour exiger de l’utilisateur qu’il saisisse des notes de travail avant qu’un incident de sécurité ou une tâche de réponse puisse être fermé ou annulé.
      Copier les notes de travail de la tâche dans la demande Activez cette option pour synchroniser les notes de travail de la tâche de réponse avec les notes de travail sur l’incident de sécurité. Ainsi, lorsque des notes de travail sont ajoutées à la tâche, les mêmes notes de travail apparaissent dans l’incident de sécurité parent.
      Catalogue et création de demande
      Créer ou mettre à jour les demandes par e-mail entrant Activez cette option pour créer ou mettre à jour des incidents de sécurité à partir d’e-mails entrants.
      Les demandes sont créées avec Sélectionnez le catalogue ou le formulaire standard pour activer le catalogue et permettre la publication automatique des modèles d’incidents de sécurité dans le catalogue.

      Sélectionnez le formulaire standard uniquement pour désactiver le catalogue et désactiver la publication automatique des modèles d’incidents de sécurité dans le catalogue.
      Les modèles créent un élément de catalogue dédié Activez cette option pour activer la publication automatique des éléments de catalogue pour l’application.
      Notifications
      Pour une demande ou une tâche, lorsque le champ sélectionné change, envoyer une notification aux destinataires Vous pouvez configurer l’envoi de notifications à des destinataires spécifiques lorsque les champs sélectionnés dans les incidents de sécurité et les tâches de réponse changent.
      1. Dans Table, sélectionnez Demande (incident de sécurité) ou Tâche (tâche de réponse).
      2. Dans Champ, sélectionnez le champ à utiliser pour générer des notifications. Lorsqu’un changement est apporté au champ sélectionné, une notification est envoyée aux destinataires identifiés.
      3. Dans Destinataires, sélectionnez un ou plusieurs destinataires.
      4. Si vous sélectionnez un utilisateur spécifique ou un groupe spécifique, vous êtes invité à sélectionner un utilisateur ou un groupe.
      5. Pour définir d’autres notifications à l’aide d’autres champs ou destinataires, répétez les étapes précédentes pour le prochain ensemble de paramètres de notification.
      6. Pour supprimer une notification, cliquez sur l’icône du symbole de suppression de notification située à droite de la notification.
    3. Cliquez sur l’onglet Affectation et remplissez les champs.
      Tableau 2. Écran de configuration : onglet d’affectation
      Champ Description
      Méthode d'affectation des demandes Sélectionnez la méthode d’affectation des incidents de sécurité :
      • à l’aide de l’affectation automatique : les incidents de sécurité sont automatiquement affectés.
      • à l’aide d’un workflow : les incidents de sécurité sont affectés par le workflow sélectionné.
      • manuellement : les incidents de sécurité sont affectés manuellement.
      Utilisez ce workflow pour affecter des demandes Sélectionnez le workflow pour la répartition des incidents de sécurité. Ce champ s’affiche lorsque l’utilisation d’un workflow est sélectionnée dans la liste Méthode d’affectation des demandes .
      Méthode d'affectation des tâches Sélectionnez la méthode d’affectation des tâches de réponse :
      • à l’aide de l’affectation automatique : les tâches de réponse sont automatiquement affectées.
      • à l’aide d’un workflow : les tâches de réponse sont affectées par le workflow sélectionné.
      • manuellement : les tâches de réponse sont affectées manuellement.
      Utilisez ce workflow pour affecter des tâches Sélectionnez le workflow pour l’affectation des tâches de réponse. Ce champ s’affiche lorsque l’utilisation d’un workflow est sélectionnée dans la liste Méthode d’affectation des tâches .
      Affectez les demandes ou les tâches en fonction des zones de couverture des groupes d'affectation Activez cette option pour limiter l’affectation des incidents de sécurité et des tâches de réponse aux groupes qui couvrent l’emplacement de la tâche.
      Ordonnancement
      La sélection automatique d’agents tient compte du fuseau horaire pour les tâches Activez cette option pour tenir compte du fuseau horaire de l'agent lors de l'affectation d'une tâche. Ce champ s’affiche lorsque l’affectation automatique est sélectionnée pour les incidents de sécurité ou les tâches de réponse.
      Facteurs supplémentaires
      La sélection automatique d’agents tient compte de leur localisation Activez cette option pour donner la préférence aux agents plus proches de l’emplacement de la tâche lors de l’affectation de tâches. Ce champ s’affiche lorsque l’affectation automatique est sélectionnée pour les incidents de sécurité ou les tâches de réponse.
      La sélection automatique d'agents pour des tâches requiert qu'ils aient des compétences Sélectionnez le degré de correspondance des compétences de l’agent avec une tâche lors de la détermination de l’affectation automatique.
      • Sélectionnez tout pour exiger qu’un agent affecté possède toutes les compétences nécessaires pour effectuer la tâche. Un agent qui n’a qu’une seule compétence est éliminé.
      • Sélectionnez-en quelques-unes si vous voulez des agents qui possèdent la plupart des compétences requises pour effectuer la tâche.
      • Sélectionnez Aucun si vous souhaitez affecter automatiquement des agents sans tenir compte des compétences. Ce champ s’affiche lorsque l’affectation automatique est sélectionnée pour les incidents de sécurité ou les tâches de réponse.
      Tentative de sélection automatique d’affecter le même agent à toutes les tâches d’une demande Activez cette option pour affecter automatiquement toutes les tâches de réponse pour un incident de sécurité au même agent.
    4. Cliquez sur l’onglet Compléments et remplissez les champs.
      Tableau 3. Écran de configuration — Onglet Compléments
      Champ Description
      Documentation
      Activer une base de connaissances dédiée Activez cette option pour activer la base de connaissances pour Réponse aux incidents de sécurité.
      Activer les documents gérés Activez cette option pour ajouter une liste connexe aux documents gérés.
      Activer les activités de la tâche Activez cette option pour consigner les interactions et les communications liées aux tâches, telles que les appels téléphoniques et les e-mails.
    5. Cliquez sur Enregistrer.

    Verrouiller l’administration de la sécurité

    Pour protéger les enquêtes et préserver la confidentialité des incidents de sécurité, vous pouvez restreindre Réponse aux incidents de sécurité l’accès aux rôles et ACL spécifiques à la sécurité. L’accès peut être restreint aux administrateurs non liés à la sécurité, sauf si vous leur autorisez expressément l’entrée.

    Avant de commencer

    Lorsque l’application Réponse aux incidents de sécurité est activée, le rôle sn_si.admin est attribué par défaut à l’utilisateur Administrateur système. L’administrateur système est le seul administrateur qui peut configurer des groupes et des utilisateurs de sécurité.

    Un rôle de sécurité est requis pour avoir accès aux fonctionnalités et aux Réponse aux incidents de sécurité enregistrements.

    Rôle requis : sn_si.admin

    Procédure

    1. Une fois le Réponse aux incidents de sécurité module d’extension activé, un utilisateur disposant du rôle admin affecte le rôle Administrateur inclus dans le périmètre (sn_si.admin) à au moins un utilisateur.
    2. L’utilisateur disposant du rôle administrateur passe au périmètre de l’incident de sécurité.
    3. Accédez à la Tout > sys_store_app.liste.
    4. Saisissez sn_si dans le champ Champ d’application .
      Applications système.
    5. Cliquez sur Réponse aux incidents de sécurité.
    6. Faites défiler la page vers le bas jusqu’aux liens connexes et cliquez sur Supprimer du rôle contenu par administrateur.
    7. Déconnectez-vous puis reconnectez-vous.
      L’utilisateur administrateur ne peut pas accéder à l’application Réponse aux incidents de sécurité .

    Gérer l’accès restreint pour l’appelant

    La fonctionnalité Accès restreint pour l’appelant (RCA) permet à un administrateur de définir l’accès entre périmètres d’une application ou d’une ressource d’application et d’autoriser ou de refuser les demandes d’accès. Cette fonctionnalité est activée Réponse aux incidents de sécurité par défaut afin que les analystes de sécurité puissent protéger les informations sensibles liées à la sécurité.

    Un champ appelé Accès pour l’appelant a été ajouté à toutes les tables et inclut le script dans Réponse aux incidents de sécurité, et le champ est attribué par défaut au suivi de l’appelant. Ce paramètre signifie que les périmètres de l’application sont autorisés à accéder aux tables et aux includes de Réponse aux incidents de sécurité script. Toutefois, un enregistrement de suivi est créé pour chaque enregistrement et stocké dans la table Privilège d’accès restreint pour l’appelant [sys_restricted_caller_access].
    Remarque :
    Soyez prudent lorsque vous passez des enregistrements de Suivi de l’appelant à Appelant restreint. Les enregistrements avec cet état ne sont pas accessibles tant qu’un administrateur n’autorise pas manuellement l’accès. L’administrateur doit accéder à Applications système > Accès restreint à l'application pour l'appelant, localisez la table ou l’include de script pour lequel l’accès a été demandé et modifiez le champ État de Demandé à Autorisé.

    Exécuter des tests de démarrage rapide pour Réponse aux incidents de sécurité

    Validez que cela Réponse aux incidents de sécurité fonctionne toujours après avoir apporté des modifications de configuration, telles que l’application d’une mise à niveau ou le développement d’une application. Copiez et personnalisez ces tests de démarrage rapide à effectuer lorsque vous utilisez des données spécifiques à votre instance.

    Les tests de démarrage rapide pour Réponse aux incidents de sécurité nécessitent l'activation du module d'extension Réponse aux incidents de sécurité (com.snc.security_incident) et le chargement des données de démonstration.

    Tableau 4. Tests Réponse aux incidents de sécurité
    Test Description Version
    SIR : créer un incident de sécurité Déterminez si un utilisateur peut créer un incident de sécurité depuis le formulaire d'incident de sécurité. Yokohama
    SIR : créer un incident de sécurité via le catalogue d'incidents de sécurité Déterminez si un utilisateur peut créer un incident de sécurité depuis le catalogue. Yokohama
    SIR : cycle de vie des incidents de sécurité Validez les tâches de réponse du workflow de violation de la politique. Yokohama
    SIR : rechercher des menaces Validez la capacité de recherche des menaces. Yokohama
    SIR : configuration prête à l'emploi des évaluations PIR Utilisez ce test pour valider les évaluations PIR et les configurations du système de base. Yokohama
    SIR : configuration conditionnelle des évaluations PIR

    Vérifiez que les incidents de sécurité correspondant à la règle conditionnelle obligatoire ne sont pas fermés avant que l'évaluation post-incident ne soit terminée.

    Vérifiez que les incidents de sécurité correspondant à la règle conditionnelle facultative peuvent être fermés avant que l'évaluation post-incident ne soit terminée.

    Vérifiez que les évaluations ne sont pas générées pour les incidents de sécurité qui ne correspondent à aucune règle.

    		 Yokohama
    SIR : vérification de l'heure d'exécution PIR Vérifiez que les rapports PIR sont configurés et joints aux incidents de sécurité selon la nouvelle conception. Yokohama
    SIR : vérification de la configuration de l'heure de conception PIR Vérifiez que l'incident de sécurité est mappé au modèle de rapport en fonction de la configuration de l'administrateur. Yokohama
    SIR : lier l'incident de sécurité à un incident de sécurité majeur Liez un incident de sécurité à un incident de sécurité majeur existant et validez les données de l'incident de sécurité repris sur l'incident de sécurité majeur. Yokohama
    SIR : promouvoir l'incident de sécurité comme incident de sécurité majeur Promouvoir un incident de sécurité en tant qu'incident de sécurité majeur et valider les données de l'incident de sécurité déployé jusqu'à l'incident de sécurité majeur. Yokohama
    SIR : proposer un incident de sécurité comme incident de sécurité majeur Proposez un incident de sécurité en tant qu'incident de sécurité majeur et validez les données de l'incident de sécurité déployé jusqu'à l'incident de sécurité majeur. Yokohama
    Vérifier que seuls les membres autorisés peuvent accéder à l'incident de sécurité une fois que l'option Appliquer la restriction est activée Vérifiez que seuls les membres autorisés peuvent accéder à l'incident de sécurité une fois que l'option Appliquer la restriction est activée. Yokohama
    Vérifier que seuls les groupes autorisés peuvent accéder à l'incident de sécurité une fois que l'option Appliquer la restriction est activée Vérifiez que seuls les groupes autorisés peuvent accéder à l'incident de sécurité une fois que l'option Appliquer la restriction est activée. Yokohama
    Valider l'accès en lecture Validez l'accès à l'affichage. Yokohama
    Valider l'accès en écriture Validez l'accès en modification. Yokohama
    Espace de travail SIR : accès en lecture Vérifiez que l’utilisateur avec accès en lecture peut voir l’incident de sécurité sans avoir de rôles de sécurité, même dans l’espace de travail Yokohama
    Espace de travail SIR : accès en écriture Vérifier que l’utilisateur avec accès en écriture peut mettre à jour l’incident de sécurité sans avoir de rôles de sécurité Yokohama
    Espace de travail SIR : créer un incident de sécurité Créer un incident de sécurité à partir de l’espace de travail Yokohama
    Espace de travail SIR : créer une tâche de réponse Créer une nouvelle tâche de réponse à partir d’un incident de sécurité existant Yokohama