Modèle de workflow de reconnaissance des incidents de sécurité

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 2 minutes de lecture

    • La reconnaissance est généralement une étape préliminaire vers une nouvelle attaque visant à exploiter un appareil ou un système. Le modèle Incident de sécurité - Reconnaissance - vous permet d’effectuer une série de tâches conçues pour gérer la reconnaissance sur votre réseau.

    Avant de commencer

    Rôle requis : sn_si.write

    Pourquoi et quand exécuter cette tâche

    Le workflow est déclenché lorsque la catégorie d’un incident de sécurité est définie sur Activité de reconnaissance. Cette action entraîne la création d’une tâche de réponse pour la première activité du workflow.

    Figure 1. Activité de reconnaissance
    Modèle de workflow de reconnaissance

    Procédure

    1. Ouvrez l’incident de sécurité pour cette attaque potentielle ou créez un nouvel incident de sécurité.
    2. Dans Catégorie, sélectionnez Activité de reconnaissance.
    3. Enregistrez l'enregistrement.
    4. Faites défiler vers le bas et ouvrez la liste connexe Tâches de réponse .
      La première d’une série de tâches de réponse apparaît. Chaque fois que l’enregistrement est enregistré, votre réponse à la tâche précédente entraîne la création de la tâche de réponse suivante ou l’arrêt du workflow.
      Tableau 1. Tâches de réponse dans le modèle de reconnaissance
      Tâche de réponse Action Résultats
      Activité de reconnaissance vérifiée ? Déterminez si les reconnaissances observées ont été vérifiées.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Identifier les systèmes impactés est exécutée.

      Si vous sélectionnez Non, le flux s’arrête.
      Identifier les systèmes impactés Déterminez les systèmes impactés par la reconnaissance. Lorsque cette tâche est terminée, la tâche Autoriser la reconnaissance pour l’analyse de l’application de la loi ? est exécutée.
      Autoriser la reconnaissance pour l’analyse des forces de l’ordre ? Déterminez si vous souhaitez que la reconnaissance soit analysée par les forces de l’ordre.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Processus d’application de la loi est exécutée.

      Si vous sélectionnez Non, la tâche Mettre à jour le(s) système(s) pour empêcher la reconnaissance est exécutée.
      Processus d’application de la loi Exécutez le processus d’application de la loi tel que défini par votre entreprise. Lorsque cette tâche est terminée, la tâche Mettre à jour le(s) système(s) pour empêcher la reconnaissance est exécutée.
      Mettre à jour le(s) système(s) pour empêcher la reconnaissance Effectuez les étapes nécessaires pour mettre à jour les systèmes affectés par la reconnaissance. Lorsque cette tâche est terminée, la tâche Définir l’état sur Révision est exécutée.
      Définir l’état sur Revue Aucune action n'est requise. L’état de l’incident de sécurité passe automatiquement à Examen et la tâche de réunion Enseignements tirés est exécutée.
      Réunion sur les enseignements tirés Tenir une réunion sur les leçons apprises afin de trier le travail effectué dans le cadre de cet incident de reconnaissance.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Lorsque cette tâche est terminée, le flux s’arrête.