Gestion des tickets de sécurité permet aux analystes de sécurité engagés dans la chasse aux menaces de recueillir des informations sur les activités suspectes dans leur environnement. Les enregistrements liés aux tickets, tels que les incidents de sécurité, les observables, les CI et les utilisateurs affectés peuvent être ajoutés aux tickets pour permettre une analyse large et spécifique.

Grâce à la possibilité de parcourir facilement les enregistrements et les informations connexes, les analystes peuvent évaluer s’ils sont confrontés à une campagne ciblée, à une menace persistante avancée, etc.

Les tickets de sécurité peuvent être créés à partir de diverses sources sur votre instance, notamment Gestion des tickets de sécurité, Réponse aux incidents de sécurité et Renseignements sur les menaces. Vous pouvez également créer des tickets à partir d’éléments de configuration et d’utilisateurs affectés dans les tables Éléments de configuration [cmdb.ci] et Utilisateurs [sys.user], respectivement. Une fois les tickets créés, chacune de ces sources peut également être utilisée pour ajouter de précieuses ressources d’analyse aux tickets existants.

Chaque ticket de sécurité se compose de trois sections principales, une section d’en-tête, une section contenant des détails supplémentaires sur le ticket et une section d’artefacts de ticket contenant une collection d’enregistrements qui aident à construire un argument en faveur de l’identification et du traitement de menaces particulières.

En-tête de ticket

L’en-tête du ticket fournit des informations de base utilisées pour identifier et classifier le ticket de sécurité. Le numéro de dossier utilise le préfixe SECC.

Détails supplémentaires du ticket

La section Détails supplémentaires du ticket fournit des informations spécifiques à l’analyse qui a déjà été effectuée sur le ticket, y compris son état actuel, ainsi que des notes de travail et des activités enregistrées pour le ticket.

Artefacts de ticket

La section Artefacts du ticket fournit une série d’onglets d’informations contenus dans le ticket de sécurité.

Vous pouvez effectuer des recherches dans le contenu de chaque onglet. Vous pouvez également exclure des enregistrements spécifiques que vous avez déjà évalués comme étant sûrs ou qui n’ont aucune valeur dans votre enquête. Les enregistrements exclus ne sont pas supprimés, mais sont masqués. Si nécessaire, vous pouvez afficher les enregistrements exclus et les ajouter à nouveau.

Dans chaque onglet, vous pouvez cliquer sur l’icône Détails supplémentaires pour afficher les informations connexes pour l’enregistrement sélectionné. Par exemple, si vous cliquez sur l’onglet Éléments de configuration pour afficher l’explorateur d’éléments de configuration et sur Détails supplémentaires pour un CI spécifique, vous pouvez afficher les incidents, les éléments vulnérables et les annotations associées à ce CI.

Vous pouvez également sélectionner un enregistrement et cliquer sur le bouton Annoter d’un artefact lié au ticket pour ajouter des annotations à l’enregistrement. Les annotations sont simplement des notes que chaque analyste peut faire sur un artefact particulier.

D’autres outils que l’analyste peut utiliser pour examiner les cas comprennent :

• Exécuter une recherche de perception sur les observables dans un ticket
• Rechercher des artefacts de sécurité