Fermez plusieurs incidents de sécurité en même temps pour éviter d’avoir à fermer les incidents associés individuellement, tels que les incidents créés avec une cause première commune ou les incidents de faux positif .
Avant de commencer
Rôle requis : sn_si.analyst
Procédure
-
Accédez à la .
-
Sélectionnez l’icône List (
).
-
Sélectionnez Listes.
-
Sélectionner .
-
Sélectionnez un ou plusieurs incidents de sécurité à fermer, puis sélectionnez Fermer.
La fenêtre Fermer en bloc les incidents de sécurité affiche des liens vers les listes d’accès aux incidents de sécurité sélectionnés pour être fermés.
- Si au moins un incident de sécurité sélectionné a des activités en attente telles que des tâches actives, des playbooks, des SI enfants, des évaluations ou des flux actifs, les incidents de sécurité avec des tâches actives, des playbooks, des SI enfants, des évaluations et des flux actifs s’affichent.
- Si au moins un incident de sécurité sélectionné pour la fermeture n’a aucune activité de fermeture en attente, les incidents de sécurité prêts à être fermés sont diffusés.
- Facultatif :
Examinez les incidents de sécurité avec des activités en attente.
Remarque : Si vous ne fermez pas manuellement les activités en attente, elles sont fermées automatiquement si vous procédez à la fermeture en bloc.
-
Fermez toutes les tâches actives, les playbooks, les SI enfants, les évaluations et les flux actifs.
-
Sélectionner Me ramener pour revenir au bloc Fermer la fenêtre Incidents de sécurité.
-
Sélectionnez Suivant.
-
Sélectionnez le code de fermeture applicable.
- Saisissez des notes de fermeture.
-
Sélectionnez Fermer en bloc.
L’activité de fermeture de l’incident s’exécute en arrière-plan.