Créer un incident de sécurité à partir de la liste des incidents de sécurité

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

5 minutes de lecture

Outre les méthodes automatiques de création d’incidents de sécurité, vous pouvez les créer manuellement, selon vos besoins.

Cette vidéo montre une vue d’ensemble de la façon dont vous pouvez créer un incident de sécurité à partir de la liste des incidents de sécurité.

Avant de commencer

Rôle requis : sn_si.basic

Procédure

Accédez à une liste d’incidents de sécurité (par exemple, Tout > Incident de sécurité > Incidents > Afficher les incidents).
Cliquez sur Nouveau.

Renseignez les champs du formulaire.


Champ	Description
Sélectionner une balise de sécurité	Si nécessaire, sélectionnez une balise de sécurité pour ajouter des métadonnées à l’enregistrement ou identifiez qui doit avoir accès à cet enregistrement d’incident de sécurité. Ce champ n’apparaît qu’une fois l’incident de sécurité enregistré.
Numéro	[Lecture seule] Le numéro de l’incident de sécurité.
Demandé par	Personne demandant l’exécution du travail.
Élément de configuration	Serveur, ordinateur, routeur ou autre élément de configuration affecté par le problème de sécurité.
Utilisateur affecté	Personne affectée par le problème de sécurité.
Emplacement	L’emplacement du demandeur ou de la ressource. Si un élément de configuration n’est pas sélectionné, ce champ est pré-rempli avec l’emplacement du demandeur.
Catégorie	Catégorie qui identifie le type de problème de sécurité. Si une catégorie est sélectionnée, un workflow d’analyse de ce problème est exécuté lorsque l’enregistrement est enregistré. Par exemple, si vous sélectionnez Déni de service, le workflow Incident de sécurité - Déni de service - Modèle est exécuté. Pour plus d'informations, consultez Modèles de workflows Réponse aux incidents de sécurité.
Sous-catégorie	Sous-catégorie qui précise le problème.
Ouverte le	[Lecture seule] Affiche la date et l’heure d’ouverture de l’incident.
État	L’état actuel de l’incident de sécurité. Lors de la création d’un incident de sécurité, ce champ est défini par défaut sur Brouillon.
Sous-état	Détermine si l’incident de sécurité inclut un problème ou un changement en attente.
Source	Identifie la source de l’incident de sécurité, par exemple un e-mail, un appel téléphonique ou la surveillance du réseau.
Capteur d'alerte	Intégration de sécurité par laquelle vous ingérez les données d’alerte ou d’événement, par exemple CarbonBlack, CrowdStrike, McAfee, etc.
Règle d4alerte	Règle du produit de sécurité qui a déclenché la création de cet incident de sécurité.
Score du risque	Affiche le score de risque calculé pour cet incident de sécurité. La valeur est basée sur la priorité de l’incident de sécurité, le type d’incident de sécurité (déni de service, harponnage ou activité de code malveillant) et le nombre de sources qui ont déclenché un score d’échec de réputation sur un indicateur. Le score de risque aide à hiérarchiser le travail d’incident de sécurité pour les analystes. Trois propriétés d’incident de sécurité vous permettent de désigner un point à code couleur à afficher à côté du score de risque dans la vue de listes afin de les rendre plus facilement identifiables. Si vous apportez des modifications à certains champs de l’incident de sécurité, tels que l’impact sur l’activité ou la priorité, et que vous sauvegardez l’enregistrement, le score de risque est automatiquement recalculé et affiché. Le changement est également reflété dans les notes de travail et dans la liste connexe des audits des scores de risque. Remarque : Le score de risque est également recalculé lorsque les utilisateurs affectés sont associés à un incident de sécurité, à des services affectés ou à des éléments vulnérables. Vous pouvez également saisir manuellement un nouveau score de risque. Cela peut être utile si vous souhaitez conserver un incident de sécurité particulier en haut de la liste des incidents de sécurité que vous analysez. Si vous entrez un nouveau score de risque, la case Remplacement du score de risque est automatiquement cochée. Quels que soient les changements apportés à l’incident de sécurité, un score de risque saisi manuellement n’est pas automatiquement recalculé. Remarque : Si vous avez mis à niveau votre instance à partir d’une version antérieure, les scores de risque ont été calculés pour tous vos incidents de sécurité ouverts. Pour plus d'informations, consultez Comprendre les calculateurs d’incidents de sécurité.
Remplacement du score du risque	Cochez cette case pour remplacer la mise à jour automatique du score de risque. Le remplacement sera reflété dans les notes de travail.
Impact sur l'activité	Sélectionnez l’importance de cet incident de sécurité pour votre entreprise. La valeur par défaut est Non critique. Si, après avoir sauvegardé l’enregistrement de l’incident de sécurité, vous modifiez la valeur dans les champs Priorité fand/ou Risque , l’impact sur l’activité est recalculé.
Priorité	Sélectionnez l’ordre dans lequel traiter cet incident de sécurité, en fonction de l’urgence. Si cette valeur est modifiée après la sauvegarde de l’enregistrement, cela peut affecter le calcul de l’impact sur l’entreprise .
Groupe d'affectation	Groupe auquel cet incident de sécurité est affecté.
Affecté à	Personne affectée à l’analyse de cet incident de sécurité. Les affectations peuvent être effectuées manuellement ou automatiquement. Pour plus d'informations, consultez Affectation d’analystes de la sécurité.
Description brève	Brève description de l’incident de sécurité.
Résultats de recherche dans la base de connaissances	Au fur et à mesure que vous saisissez la brève description, des liens vers des articles connexes de la base de connaissances s’affichent. L’analyse des informations pourrait résoudre votre problème.

Cliquez avec le bouton droit dans l’en-tête de l’enregistrement, puis sélectionnez Enregistrer.
Si vous avez ajouté un nouveau CI à l’incident de sécurité, les workflows d’intégration suivants sont automatiquement exécutés :
- Opérations de sécurité : obtenir le flux d’exécution des processus. Ce workflow récupère une liste des processus en cours d’exécution sur un élément de configuration (CI) à partir d’un hôte ou d’un point de terminaison.
- Workflow Security Incident Response - Get Running Services. Ce workflow récupère une liste des services en cours d’exécution à partir des CI Windows.
- Intégrations Security Operations : obtenir le flux des statistiques réseau. Ce workflow récupère une liste des connexions réseau actives à partir d’un hôte ou d’un point de terminaison.
Pour afficher les informations récupérées par ces workflows, cliquez sur le lien connexe Afficher les données d’enrichissement , puis sur l’un des onglets indiqués.

Remarque :
Des workflows supplémentaires sont exécutés en fonction des intégrations tierces que vous avez activées, comme suit Intégration de Security Operations Carbon Black : obtenir le flux d’exécution des processus