Modèle de workflow d’incident de sécurité pour les logiciels malveillants

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • Le modèle Incident de sécurité - Logiciel malveillant - vous permet d’effectuer une série de tâches conçues pour gérer les logiciels malveillants sur votre réseau.

    Avant de commencer

    Rôle requis : sn_si.write

    Pourquoi et quand exécuter cette tâche

    Le workflow est déclenché lorsque la catégorie d’un incident de sécurité est définie sur Logiciel malveillant. Cette action entraîne la création d’une tâche de réponse pour la première activité du workflow.

    Figure 1. Logiciel malveillant
    Modèle de workflow de logiciel malveillant

    Procédure

    1. Ouvrez l’incident de sécurité pour cette attaque potentielle ou créez un nouvel incident de sécurité.
    2. Dans Catégorie, sélectionnez Activité du code malveillant.
    3. Enregistrez l'enregistrement.
    4. Faites défiler vers le bas et ouvrez la liste connexe Tâches de réponse .
      La première d’une série de tâches de réponse apparaît. Chaque fois que l’enregistrement est enregistré, votre réponse à la tâche précédente entraîne la création de la tâche de réponse suivante ou l’arrêt du workflow.
      Tableau 1. Tâches de réponse dans le modèle de logiciel malveillant
      Tâche de réponse Action Résultats
      Point de terminaison de l’analyse : programme malveillant trouvé ? Après avoir exécuté une analyse, déterminez si un programme malveillant a été trouvé.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Supprimer les programmes malveillants : réussite ? est exécutée.

      Si vous sélectionnez Non, le flux s’arrête.
      Supprimer les programmes malveillants : réussite ? Déterminez si le programme malveillant a été supprimé.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Y a-t-il eu une violation plus importante ? est exécutée.

      Si vous sélectionnez Non, la tâche Effacer et réimager est exécutée.
      Effacer et réimager Si vous n’avez pas réussi à supprimer le programme malveillant trouvé, cette tâche vous demande d’effectuer un effacement et une nouvelle image sur les ordinateurs infectés par le programme malveillant. Une fois la tâche terminée, la tâche Définir l’état sur Révision est exécutée.
      Y a-t-il eu une violation plus importante ? Déterminez si la violation causée par le logiciel malveillant est plus importante qu’on ne le croyait au départ.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, les tâches suivantes sont exécutées en parallèle :
      • Révision juridique
      • Revue RH
      • Examen de l’application de la loi

      Si vous sélectionnez Non, le flux s’arrête.
      Révision juridique

      Revue RH

      Examen de l’application de la loi

      		 Effectuez les étapes nécessaires pour chacun de ces départements afin d’examiner le processus que vous avez suivi pour éradiquer le logiciel malveillant. Lorsque les tâches sont terminées, la tâche Définir l’état sur Révision est exécutée.
      Définir l’état sur Revue Aucune action n'est requise. L’état de l’incident de sécurité passe automatiquement à Examen et le flux s’arrête.