Référence de l’assistant de configuration

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 31 minutes de lecture

    • L’assistant de configuration vous guide tout au long des étapes à suivre pour configurer le système de Réponse aux incidents de sécurité base. Cette section fournit des informations supplémentaires sur les étapes compliquées pour lesquelles vous pourriez avoir besoin de plus d’explications.

    Créer une définition de Réponse aux incidents de sécurité processus

    Vous pouvez créer une définition de processus pour définir la façon dont les incidents de sécurité passent d’un état à l’autre. Les définitions de processus permettent aux centres de services et aux utilisateurs finaux de suivre le problème tout au long de son cycle de vie.

    Avant de commencer

    Rôle requis : sn.si_admin

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Administration > Définition de processus.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs comme il convient.
      Tableau 1. Création de définitions de processus
      Champ Description
      Nom Nom de l’enregistrement qui décrit le processus codé dans le fichier d’include de script. Le nom s’affiche sous forme de choix dans la liste sélecteur de définition de processus .
      Include de script Nom (y compris le préfixe sn_si.) de l’include de script contenant la définition du processus. Le script doit se trouver dans le périmètre de l’application Incident de sécurité (sn_si). Consultez Créer un script include de définition de processus personnalisé Réponse aux incidents de sécurité pour plus d'informations. Si ce champ ne contient pas de nom d’include de script valide, la définition de ProcessDefinition_NIST_Stateful par défaut est utilisée.
      Description Informations utiles sur l’include de script.
      Ordre Détermine la position dans la liste de définition du processus.
      Actif Lorsque cette option est cochée, cette définition de processus peut être sélectionnée à partir de la page Sélecteur de définition de processus .
    4. Cliquez sur Envoyer.

    Comprendre la définition du processus de Security Incident Response

    Réponse aux incidents de sécurité Définition du processus Remplace les flux d’états et fournit aux utilisateurs finaux et aux centres de services l’état d’un problème. Une définition de processus permet de suivre le problème tout au long de son cycle de vie. Réponse aux incidents de sécurité est une application de Gestion des services (SM) qui possède son propre ensemble d’états. Les états non valides sont signalés comme faisant partie de Sélection du processus.

    Définition du processus de Réponse aux incidents de sécurité

    La définition de processus par défaut (état NIST) définit les états d’incident suivants :
    Remarque :
    Les états disponibles varient en fonction de l’état actuel de l’incident.
    Tableau 2. États de définitions des processus d’incidents de sécurité
    État Description
    Brouillon L’initiateur de la demande ajoute des informations sur l’incident de sécurité, mais celles-ci ne sont pas encore prêtes à être traitées.
    Analyse L’incident a été affecté et le problème est en cours d’analyse.
    Contenir Le problème a été identifié et le personnel de sécurité s’efforce de le contenir et de limiter les dégâts. Ces actions peuvent inclure la mise hors ligne des serveurs, la déconnexion de l’équipement d’Internet et la vérification de l’existence de sauvegardes.
    Éradiquer Le problème a été maîtrisé et le personnel de sécurité prend des mesures pour le résoudre.
    Récupérer Le problème est résolu et l’état de préparation opérationnelle des systèmes affectés est en cours de vérification.
    Revue L’incident de sécurité est terminé et tous les systèmes ont repris leur fonctionnement normal, mais un examen post-incident reste nécessaire.
    Fermé L’incident est terminé, mais avant qu’un incident de sécurité puisse être fermé, vous devez renseigner les informations dans l’onglet Informations sur la fermeture .

    Définitions des processus de tâche d’incident de sécurité

    Les définitions de processus suivantes sont utilisées pour les tâches d’incident de sécurité.

    Tableau 3. États de définitions des processus de tâches
    État Description
    Prêt La tâche est prête à être traitée une fois affectée à un agent.
    Affecté La tâche est affectée à un agent.
    Travail en cours L’agent affecté travaille sur la tâche.
    Terminé La tâche est terminée.
    Annulé La tâche a été annulée.

    Le NIST prend en charge les deux modèles suivants :

    • NIST Stateful

      Cette définition de processus permet aux analystes de passer d’un état à un autre dans un ordre séquentiel sans ignorer aucune étape. Par exemple, si l’analyste commence par l’état Brouillon , l’ordre séquentiel de cette définition de processus est Brouillon>Analyse>Contenir>Éradiquer>Récupérer. Ainsi, la définition du processus avec état NIST est unidirectionnelle et permet aux analystes de progresser uniquement vers les états directs.

      Voici un autre exemple : si l’analyste commence par l’état Analyse, l’ordre séquentiel de cette définition de processus est Analyse>Contenir>Éradiquer>Récupérer.

    • NIST Open

      Cette définition de processus permet aux analystes de passer d’un état à un autre, en avant ou en arrière. Par exemple, si l’analyste commence par l’état Analyse , l’ordre de la définition du processus peut être Analyse>Contenir>Éradiquer>Récupérer ou Analyse>Brouillon. Ainsi, la définition du processus NIST Open est bidirectionnelle et permet aux analystes de passer à des états en avant ou en arrière en fonction de leurs besoins.

    Sélection du processus de Security Incident Response

    Réponse aux incidents de sécurité La sélection de processus répertorie les processus présentant des états non valides pour les incidents de sécurité et les tâches de réponse.

    Un administrateur peut corriger l’incident ou la tâche pour rétablir des états valides manuellement ou à l’aide d’un script. Une liste connexe vide (aucun incident ; aucune tâche) indique que chaque tâche active est dans un état valide. Les états disponibles varient en fonction de l’état actuel de l’incident. Pour plus d'informations, consultez Corriger un état d'incident ou de tâche de sécurité non valide avec la définition du processus.

    Sélectionner une définition de Réponse aux incidents de sécurité processus

    Vous pouvez sélectionner la définition de processus à utiliser pour les états appropriés pour les incidents de sécurité et les tâches de réponse de votre entreprise.

    Avant de commencer
    Rôle requis : admin et sn_si.admin
    Pourquoi et quand exécuter cette tâche
    Procédure
    1. Accédez à la Tous > Security Incident Response > Administration > Sélection du processus.
    2. Cliquez sur l’icône de recherche pour répertorier les définitions de processus disponibles.
      Sélecteur de définition de processus
    3. Sélectionnez une définition de processus.
    4. Cliquez sur Mettre à jour.

    Créer un script include de définition de processus personnalisé Réponse aux incidents de sécurité

    Créez un script de définition de processus personnalisé pour les états appropriés des incidents de sécurité et des tâches de réponse de votre entreprise.

    Avant de commencer
    Rôle requis : sn_si.admin
    Pourquoi et quand exécuter cette tâche
    Le sn_si. Le script principal de ProcessDefinition comprend des contrôles, des définitions de processus. La définition de processus détermine quelle définition est utilisée (à l’aide de la sélection de processus). Il appelle le fichier d’include de script approprié pour déterminer les états initiaux et les transitions pour les incidents de sécurité et les tâches de réponse.
    Procédure
    1. Accédez à la Tous > Définition du système > Includes de script.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs comme il convient.
      Tableau 4. Création de définitions de processus
      Champ Description
      Nom Nom de l’include de script.
      Nom de l'API Créé en fonction du nom de l’include de script.
      Client joignable Met l’include de script à la disposition des scripts clients, des filtres de liste et de rapport, des qualificatifs de référence ou, s’il est spécifié, dans le cadre de l’URL.
      Application Incident de sécurité
      Accessible depuis Choisissez Ce périmètre de l’application uniquement .
      Actif Lorsque cette option est cochée, cet include de script peut être sélectionné à partir de la page Définition du processus .
      Description Informations utiles sur l’include de script.
      Script Définit le script côté serveur à exécuter lorsqu’il est appelé à partir d’autres scripts.

      Le script doit définir une seule classe JavaScript ou une fonction globale. Le nom de classe ou de fonction doit correspondre au champ Nom.

      Pour plus d’informations sur le contenu des scripts, reportez-vous à la section Script include de définition de processus.
      Formulaire d’include de script de définition de processus
    4. Cliquez sur Envoyer.
    Script include de définition de processus

    L’include de script de définition de processus fournit des méthodes pour définir une définition de processus.

    Implémentez les constantes, les attributs, les tableaux et les appels de méthode décrits ici pour personnaliser un script include de définition de processus.

    Où l’utiliser

    Utilisez cet include de script pour créer une définition de processus.

    Corps du script include
    Le corps du script include est composé de trois sections :
    • Constantes : définitions de l’état initial
    • Tâche Security Incident and Response : tableaux de définition de processus
    • Appels de méthode : récupération d’informations
    Constantes

    Les constantes sont utilisées pour définir les états initiaux des incidents de sécurité et des tâches de réponse.

    L’utilisation de constantes est facultative mais encouragée pour la lisibilité. Par exemple :
    INITIAL_INCIDENT_STATE: 10,
INITIAL_TASK_STATE: 1,

    Qui sont utilisées ultérieurement par les méthodes suivantes :

    
getInitialIncidentState: function() {
return this.INITIAL_INCIDENT_STATE;
},
getInitialTaskState: function() {
return this.INITIAL_TASK_STATE;
},

    L’ensemble suivant de constantes définit les états des incidents de sécurité et des tâches de réponse.

    Chaque tableau contient également la définition des états disponibles lorsque l’incident ou la tâche est dans un état spécifique.

    Par exemple :
    TASK_STATES: [{state:1, label:"Draft", choice:[1, 10]},
 {state:10, label:"Ready", choice:[10, 16]},
 {state:16, label:"Assigned", choice:[16, 18]},
 {state:18, label:"Work in Progress", choice:[18, 3]},
 {state:3, label:"Close Complete", choice:[]},
 {state:7, label:"Cancelled", choice:[]},
 ],

    L’exemple est un tableau d’objets. Chaque objet définit un état et des états de transition possibles.

    L’ordre de l’objet de l’état détermine l’ordre souhaité pour le flux.

    Lorsque la tâche est à l’état « Brouillon » (valeur 1), les états possibles sont : 1 (Brouillon, ce qui n’a pas changé) et 10 (Prêt, la prochaine étape du processus).

    Il n’y a pas de limite au nombre de transitions hors d’un état. Les états « Fermé terminé » et « Annulé » sont des états finaux et n’ont donc pas de transitions d’état possibles.

    L’ordre des attributs dans l’objet n’a pas d’importance. Si cela rend la définition plus claire, mettez l’étiquette en premier.

    Attributs
    Les attributs requis dans un objet de définition d’état sont les suivants :
    • État : valeur numérique de l’état
    • Étiquette : texte lisible par l’homme associé à l’état
    • Choix : un tableau de valeurs d’état vers lesquelles l’état peut effectuer la transition (détermine le contenu de la liste déroulante d’état)
    Les attributs facultatifs sont les suivants :
    • obligatoire : liste des ID de champs qui deviennent obligatoires dans cet état
    • readonly : liste des ID de champs qui passent en lecture seule dans cet état
    • visible : liste des ID de champs qui deviennent visibles dans cet état
    • notmandatory : liste des ID de champs qui deviennent non obligatoires dans cet état
    • notvisible : liste des ID de champs qui ne seraient plus visibles dans cet état
    Remarque :

    Si des attributs facultatifs sont utilisés, il est de la responsabilité de l’auteur de s’assurer que les champs sont rendus visibles/invisibles, obligatoires/non obligatoires, visibles/masqués ou en lecture seule de manière appropriée entre les états.

    Par exemple, masquer un champ dans un état ne le rend pas visible dans un autre état ultérieurement, sauf si l’attribut « visible » est utilisé.

    Tableaux de définition de flux de processus

    Pour définir les informations affichées dans le formateur de flux de processus (barre en haut des formulaires de tâche Security Incident et Response), le système a besoin d’informations sur ce qu’il faut afficher pour chaque état.

    Par exemple :
    TASK_PF: [{label:"Draft", condition:"state=1^EQ", description:"<p>Security Incident Response Task is in draft</p>"},
 {label:"Ready", condition:"state=10^EQ", description:"<p>Security Incident Response Task is ready to be assigned</p>"},
 {label:"Assigned", condition:"state=16^EQ", description:"<p>Security Incident Response Task is assigned</p>"},
 {label:"Work in Progress", condition:"state=18^EQ", description:"<p>Work has started on this Security Incident Response Task</p>"},
 {label:"Closed", condition:"state=3^ORstate=4^ORstate=7^EQ", description:"<p>Security Incident Response Task is complete</p>"},
],

    Le tableau TASK_PF est une collection d’étiquettes, de conditions et de descriptions utilisées pour déterminer le texte affiché dans la barre du formateur de processus (y compris l’ordre et l’activité).

    Dans l’exemple, le texte « Prêt » est le deuxième élément affiché. Elle est mise en surbrillance lorsque la tâche satisfait à la condition « state=10^EQ ».

    Lorsque le pointeur survole le texte, la description « La tâche Réponse aux incidents de sécurité est prête à être affectée » s’affiche.

    Remarque :

    Les états peuvent être combinés en un seul état de formateur.

    Dans l’exemple, les états « Fermé terminé » et « Annulé » s’affichent comme « Fermé » dans la barre supérieure.

    Appels de méthodes
    Les méthodes suivantes doivent être présentes dans l’include de script car elles sont utilisées par sn_si. Définition du processus :
    Type de retour Résumé de la méthode Description
    Chaîne getInitialIncidentState : fonction() Renvoyer la valeur numérique de l’état de l’incident initial
    Chaîne getInitialTaskState : fonction() : Renvoyer la valeur numérique de l’état de la tâche initiale
    Tableau de chaîne getIncidentStates : fonction() : Renvoyer le tableau de l’état de l’incident
    Tableau de chaîne getTaskStates : fonction() : Renvoyer le tableau de l’état de la tâche
    Tableau d’objets getIncidentProcessFlows : fonction() : Renvoyer le tableau de définition du flux de processus de l’incident
    Tableau d’objets getTaskProcessFlows : fonction() : Renvoyer le tableau de définition du flux de processus de tâche

    L’ensemble de méthodes suivant est appelé chaque fois qu’un incident ou une tâche est mis à jour et permet de prendre des mesures sur des transitions de changement spécifiques.

    Type de retour Résumé de la méthode Description
    nul performIncidentStateChange : fonction(current, précédent) Dans les exemples, cette méthode est utilisée pour définir les valeurs liées à SM et s’assurer qu’un incident passe de l’état « Brouillon » une fois qu’une personne lui est affectée.
    nul performTaskStateChange : fonction (current, previous) Dans l’exemple, cette méthode est utilisée pour mettre à jour les horodatages (lors de l’affectation et de la fermeture) et faire passer la tâche de « Prêt » à « Affecté » une fois le champ assigned_to renseigné.
    Les mêmes actions effectuées par ces deux méthodes peuvent être accomplies à l’aide d’une règle métier. En les définissant dans l’include de script, le changement de définition de processus est facilité.

    Corriger un état d'incident ou de tâche de sécurité non valide avec la définition du processus

    Un administrateur peut corriger l’incident ou la tâche de sécurité sur des états valides, manuellement ou à l’aide d’un script. Les états disponibles varient en fonction de l’état actuel de l’incident.

    Avant de commencer
    Rôle requis : admin
    Pourquoi et quand exécuter cette tâche
    Une fois que vous avez changé de définition de processus, la nouvelle définition peut ne pas prendre en charge certains des anciens états. Pour corriger les états d’incident ou de tâche orphelins, vous pouvez modifier votre définition de processus, modifier votre script include ou ouvrir manuellement chaque incident ou tâche pour mettre à jour l’état. En général, la mise à jour de l’état (qui peut être effectuée en masse) est la solution la plus simple.

    Pour changer les états en bloc, procédez comme suit :

    Procédure
    1. Accédez à la Tous > Sélection du processus.
    2. Mettez en surbrillance le champ État pour les incidents ou les tâches que vous souhaitez modifier.
    3. Double-cliquez sur le champ État du premier enregistrement, sélectionnez le nouvel état, puis cliquez sur la coche verte ( coche verte) pour terminer la modification.
      Exemple de définition corrigée
    4. Cliquez sur Mettre à jour.

    Créer un groupe d’incidents de sécurité

    Configurez un groupe d’incidents de sécurité et affectez-lui les rôles et les utilisateurs appropriés.

    Avant de commencer

    Rôles requis :
    • Si vous disposez du rôle user_admin, vous pouvez créer des groupes d’affectation d’incidents de sécurité.
    • Si vous disposez du rôle sn_si.admin, vous pouvez créer et modifier des groupes d’affectation d’incidents de sécurité.

    Pourquoi et quand exécuter cette tâche

    Les utilisateurs d’un groupe héritent les rôles du groupe. Il est donc inutile d’affecter des rôles à chaque utilisateur séparément.

    Il est recommandé de créer autant de groupes que nécessaire dans votre organisation. Il est également recommandé de créer un groupe pour les administrateurs et de n’affecter le rôle administrateur qu’à ce groupe.

    Procédure

    1. Accédez à la Tous > Administration utilisateurs > Groupes ou Incident de sécurité > Configuration > Groupes.
    2. Cliquez sur Nouveau.
    3. Remplissez les champs du formulaire.
      Remarque :

      Pour plus d’informations, consultez Créer un groupe d’utilisateurs.

    4. Veillez à sélectionner le type d’incident de sécurité pour ce groupe.
      1. Si le champ Type n’est pas visible, configurez le formulaire pour l’ajouter.
      2. Cliquez sur l'icône de verrouillage à côté du champ Type.
      3. Cliquez sur l’icônede recherche de référence (icône de recherche).
      4. Recherchez et sélectionnez le type d’incident de sécurité .
    5. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer.
    6. Dans la liste connexe Rôles , ajoutez les rôles que chaque membre de ce groupe reçoit.
      Par exemple, si vous créez un groupe pour Réponse aux incidents de sécurité les membres de l’équipe, ajoutez sn_si.analyst. Si vous créez un groupe pour Réponse aux incidents de sécurité les administrateurs, ajoutez sn_si.admin.
    7. Dans la liste connexe Membres du groupe , ajoutez des utilisateurs à ce groupe.
    8. Cliquez sur Mettre à jour.

    Créer un groupe de calculateurs d’incidents de sécurité

    Les groupes de calculateurs d’incidents de sécurité sont utilisés pour regrouper les calculateurs.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Configuration > Groupes de calculateurs d'incidents de sécurité.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom Le nom du calculateur d’incident de sécurité.
      Application L'application qui contient l'enregistrement.
      Ordre Ordre dans lequel le calculateur d’incident de sécurité est exécuté. Un calculateur avec une entrée d’ordre de 100 s’exécute avant un calculateur avec une entrée d’ordre de 200.
      Description Description de ce groupe de calculateurs.
      Créé par Entrez le nom de l’utilisateur qui a créé
    4. Cliquez sur Envoyer.

    Créer un calculateur d’incident de sécurité

    Les calculateurs d’incidents de sécurité vous permettent de calculer la gravité d’un incident de sécurité en fonction de formules prédéfinies. Vous pouvez définir vos propres calculateurs d’incident de sécurité, selon vos besoins.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Configuration > Groupes de calculateurs d'incidents de sécurité.
    2. Cliquez sur le nom du groupe pour lequel vous souhaitez créer un calculateur, ou vous pouvez créer un groupe de calculateurs.
    3. Cliquez sur Nouveau.
    4. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom Le nom du calculateur d’incident de sécurité.
      Groupe de calculateurs Nom du groupe auquel ce calculateur appartient.
      Remarque :
      La création ou la modification du groupe de calculateurs devient disponible une fois que vous avez entré un nom et une table.
      Table

      Sélectionnez la table à utiliser pour ce calculateur.

      Lorsque vous ajoutez des calculateurs à des tables autres que Vulnérabilité [sn_vul_vulnerability] et Élément vulnérable [sn_vul_vulnerable_item], vous devez ajouter des règles métier et des actions d’interface utilisateur à ces tables. Pour afficher des exemples :
      • Accédez à la Définition du système > Règles métieret localisez la règle métier Calculer la gravité dans la table Élément vulnérable [sn_vul_vulnerable_item].
      • Accédez à la Interface utilisateur du système > Actions d'interface utilisateuret localisez l’action d’interface utilisateur Calculer la gravité sur la table Élément vulnérable [sn_vul_vulnerable_item].

      En outre, le rôle d’administrateur de vulnérabilité doit disposer d’options complètes de lecture, d’écriture (ou de save_as_template) sur n’importe quelle table utilisée par un calculateur pour voir correctement les valeurs à appliquer au modèle.
      Application L’application incluse dans le périmètre à laquelle le calculateur appartient.
      Ordre Ordre dans lequel le calculateur d’incident de sécurité s’exécute. Un calculateur avec une entrée d’ordre de 100 s’exécute avant un calculateur avec une entrée d’ordre de 200.
      Actif Allumez ou désactivez la calculatrice.
      Description Description de ce calculateur.
    5. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer.
      Les onglets Conditions et Valeurs à appliquer s’affichent .
    6. Renseignez les champs de l’onglet Conditions comme il convient.
      Champ Description
      Utiliser un groupe de filtres Cochez cette case pour utiliser un groupe de filtres prédéfini ou créer un nouveau groupe de filtres pour définir les critères du calculateur.
      Groupe de filtres Sélectionnez le groupe de filtres à utiliser pour définir un calculateur.

      Ce champ s’affiche uniquement si vous avez coché la case Utiliser les groupes de filtres .
      Utiliser une condition avancée Cochez cette case pour indiquer qu’une condition de script est utilisée pour déterminer quand ce calculateur est appliqué. Lorsque vous cochez la case, un champ de scripting de condition avancée s’affiche.

      Si vous avez coché la case Utiliser un groupe de filtres , ce champ est masqué.

      Remarque :
      Avant de définir des conditions avancées et d’écrire des scripts pour déterminer quand les calculateurs d’incident de sécurité sont appliqués, revenez à la liste des calculateurs d’incident de sécurité. Explorez les enregistrements de calculateur fournis avec le système de base.
      Condition Définit les conditions de filtre de base pour déterminer si le calculateur est utilisé.

      Si vous avez coché l’une des cases Utiliser le groupe de filtres ou Utiliser des conditions avancées , ce champ est masqué.
    7. Cliquez sur l’onglet Valeurs à appliquer et renseignez les champs du formulaire comme il convient.
      Vous avez le choix de créer un script pour définir les valeurs à appliquer au calcul ou de définir un modèle basé sur les champs de la table sélectionnée.
      Champ Description
      Utiliser des valeurs de script Cochez cette case pour définir des valeurs de champ avec un script.
      Valeurs de script Définit les valeurs auxquelles appliquer les calculs.

      Ce champ s’affiche uniquement si vous avez coché la case Utiliser des valeurs de script .
      Modèle Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer. Sélectionnez les champs et les valeurs que vous souhaitez utiliser pour le calculateur.
    8. Lorsque vous avez terminé toutes les entrées, cliquez sur Soumettre.

    Comprendre les calculateurs d’incidents de sécurité

    Les calculateurs d’incidents de sécurité sont utilisés pour mettre à jour les valeurs d’enregistrement lorsque des conditions prédéfinies sont remplies. Les calculateurs sont regroupés en fonction des critères utilisés pour déterminer le mode de mise à jour des enregistrements.

    Le Réponse aux incidents de sécurité système de base comprend les groupes de calculateurs et les calculateurs d’incidents de sécurité suivants. Au sein de chaque groupe, c'est le premier calculateur qui correspond aux conditions qui est exécuté.

    Tableau 5. Calculateurs d’incidents de sécurité dans le système de base
    Nom du groupe du calculateur d’incidents de sécurité Calculateurs inclus dans le groupe Description
    Impact sur l'entreprise Regrouper à partir des calculateurs de gravité Ce calculateur délègue au calculateur de criticité de sécurité qui détermine la criticité en pondérant les valeurs d’autres champs.
    Gravité Impact sur l'entreprise Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions simple.
    Service critique affecté Ce calculateur de gravité définit ses critères de sélection à l’aide d’une condition avancée.

    Si l’élément de configuration dans l’incident de sécurité est associé à un service d’entreprise hautement critique, les champs Score de risque, Impact sur l’entreprise et Priorité sont élevés comme défini par le calculateur.
    Changements de services critiques Ce calculateur de gravité définit ses critères de sélection à l’aide d’une condition avancée.

    Si l’incident de sécurité remplit les conditions, un script s’exécute pour définir les niveaux auxquels les champs sont élevés. Si l’élément de configuration dans l’incident de sécurité est associé à un service d’entreprise très critique ou quelque peu critique, les champs Score de risque, Impact sur l’entreprise et Priorité sont élevés comme défini par le calculateur.
    Vecteurs d’attaques multiples Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions simple.

    Si l’élément de configuration de l’incident de sécurité est associé à des vecteurs d’attaque Web, par e-mail et par emprunt d’identité, le score de risque, l’impact sur l’entreprise et les champs Priorité sont élevés comme défini par le calculateur.
    Définir la priorité avec la catégorie et les services Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions avancé.
    La priorité de l’incident de sécurité est définie sur 1 - Critique lorsque les conditions suivantes sont remplies :
    • L’incident de sécurité a des services affectés associés et l’un d’eux est critique.
    • La catégorie d’incident de sécurité est l’une des suivantes :
      • Déni de service
      • Harponnage
      • Activité du code malveillant
    Remarque :
    Ce calculateur est disponible dans le système de base lorsque vous disposez du niveau tarifaire Opération de sécurité de démarrage.
    Définir la priorité avec les observables Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions avancé.
    La priorité de l’incident de sécurité est définie sur1 - Critique lorsque les conditions suivantes sont remplies :
    • L’incident de sécurité a des services affectés associés et l’un d’eux est critique.
    • La catégorie d’incident de sécurité est l’une des suivantes :
      • Déni de service
      • Harponnage
      • Activité du code malveillant
    • L’un des observables ou indicateurs associés a un nombre d’observations qui dépasse deux observations avec des indicateurs actifs (c’est-à-dire que les observables ou les indicateurs sont confirmés comme étant mauvais à partir de plusieurs sources).
    Remarque :
    Ce calculateur est disponible dans le système de base lorsque vous disposez du niveau tarifaire Opération de sécurité avancée et que vous activez le module d’extension Flux de menaces.
    Criticité de l'utilisateur Obtenir la criticité de l'utilisateur Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions simple.

    Ce calculateur de gravité fait passer la criticité opérationnelle de l’utilisateur à 1 - Critique lorsque le champ Département est changé en Finances.
    Obtenir la criticité du groupe d'utilisateurs Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions avancé.

    Ce calculateur de gravité fournit un exemple de calculateur qui s’exécute sur les données d’une liste connexe.

    Calculateurs de gravité

    Lorsque vous créez un incident de sécurité, les champs Score de risque, Impact sur l’entreprise et Priorité contiennent des valeurs par défaut. Lorsque vous enregistrez l’incident, une règle métier valide automatiquement les informations contenues dans l’incident de sécurité par rapport aux conditions définies dans chacun de vos calculateurs de gravité actifs. Ils sont validés un calculateur de sécurité à la fois, dans l’ordre défini par le champ Ordre de chaque calculateur. Si les informations contenues dans l’incident de sécurité correspondent aux conditions définies dans l’un des calculateurs, les valeurs des champs de gravité sont mises à jour en fonction des règles définies dans le calculateur.

    Supposons, par exemple, que vous créez un incident de sécurité pour un CI affecté et que le CI est très critique. Lorsque l’incident de sécurité est enregistré, les informations de CI sont comparées aux conditions définies dans les calculateurs de gravité. Lorsque l’incident de sécurité est validé par rapport au calculateur de gravité affecté par le service critique , les champs de gravité sont automatiquement mis à jour et un message similaire au suivant s’affiche en haut de l’incident de sécurité.

    Messages en haut de l’incident de sécurité

    Vous pouvez utiliser ces calculateurs de gravité tels quels ou vous pouvez les modifier pour mieux répondre aux besoins de votre entreprise. Par exemple, si vous souhaitez identifier les menaces Web et de messagerie spécifiques à l’unité business Finance, vous pouvez modifier les conditions du calculateur de Vecteurs d’attaques multiples :
    • [Vecteur d’attaque] [contient] [Web]
    • [Vecteur d’attaque] [contient] [Courriel]
    • [Unité business] [contient] [Finances]

    Vous pouvez également mettre à jour les valeurs de gravité d’un incident de sécurité existant à tout moment en ouvrant l’enregistrement et en cliquant sur le lien connexe Calculer la gravité .

    Calculateurs de score de risque d’incidents de sécurité

    Les calculateurs Définir la priorité avec la catégorie et les services et Définir la priorité avec les observables sont utilisés pour calculer un score de risque pour un incident de sécurité.

    Calculateurs de criticité utilisateur

    Les deux calculateurs du groupe de criticité de l’utilisateur (Obtenir la criticité de l’utilisateur et Obtenir la criticité du groupe d’utilisateurs) fournissent des exemples de la façon dont vous pouvez gérer la criticité en fonction de critères définis dans un enregistrement utilisateur ou en fonction du groupe auquel un utilisateur appartient.

    Elles peuvent être modifiées si nécessaire ou de nouveaux calculateurs de criticité utilisateur peuvent être créés.

    Le calculateur Obtenir la criticité de l’utilisateur fait passer la criticité opérationnelle de l’utilisateur à 1 - Critique lorsque le champ Département est changé en Finances.

    Le calculateur Obtenir la criticité du groupe d’utilisateurs fait passer la criticité opérationnelle de l’utilisateur à 1 - Critique lorsque l’utilisateur est ajouté au groupe de base de données .
    Remarque :
    Obtenir la criticité du groupe d’utilisateurs est un exemple de calculateur qui s’exécute sur les données d’une liste connexe. Si vous souhaitez ajouter d’autres groupes pour initier un changement de criticité, ajoutez une liste de groupes séparés par des virgules sys_ids à la première ligne du script. Exemple : var CRITICAL_GROUPS = [group1_sys_id, group2_sys_id, group3_sys_id].

    Calculs du score de risque d’incidents de sécurité

    Le score de risque est calculé comme une moyenne arithmétique qui représente le risque en fonction de la priorité d’un incident de sécurité, du type d’incident de sécurité (déni de service, harponnage ou activité de code malveillant) et du nombre de sources qui ont déclenché un score de réputation échoué sur un indicateur.

    Le score de risque aide à hiérarchiser le travail d’incident de sécurité pour les analystes.
    Important :
    Si vous souhaitez utiliser le nouveau calculateur de score de risque, reportez-vous à .Définir les nouvelles règles du calculateur de score de risque
    Les calculateurs d’incidents de sécuritéDéfinir la priorité avec la catégorie et les services et Définir la priorité avec les observables sont utilisés pour calculer un score de risque pour un incident de sécurité. En outre, les règles métier suivantes déclenchent le calcul automatique des scores de risque :
    • Calculer la gravité
    • Mettre à jour le score de risque
    • Mettre à jour le score de risque SI
    Remarque :
    Le calculateur de risque disponible dans le système de base dépend de votre niveau tarifaire Security Operations.
    Lorsque vous consultez une liste d’incidents de sécurité dans le système de base, notez la colonne Score de risque .
    Figure 1. Incidents de sécurité
    Incidents de sécurité et scores de risque
    Le score de risque est calculé à l’aide des poids définis dans la configuration du score de risque.
    Figure 2. Configuration de score du risque
    Poids de score du risque

    Par exemple, si un incident de sécurité a un impact sur l’entreprise défini sur 2-Élevé et une priorité définie sur 3-Modéré, les poids respectifs dans la table des pondérations du score de risque sont recherchés et calculés comme suit :

    Impact opérationnel de l’incident de sécurité avec une valeur de 2 = un poids de 60.

    Priorité de l’incident de sécurité avec une valeur de 3 = un poids de 40.

    (60 + 40)/2 = un score de risque de 50.

    La position de l’incident de sécurité dans la liste des incidents de sécurité est ensuite réorganisée en fonction de son score de risque mis à jour.

    Si, dans l’exemple ci-dessus, l’impact sur l’entreprise ou la priorité de l’incident de sécurité est modifié, le score de risque est recalculé et les changements sont reflétés dans les notes de travail.
    Figure 3. Notes de travail
    Notes de travail après le calcul du score de risque
    Les notes de travail sont mises à jour lorsque les champs suivants sont modifiés (entraînant la mise à jour du score de risque) :
    • Impact sur l’activité du formulaire d’incident de sécurité
    • Priorité sur le formulaire d’incident de sécurité
    • Gravité sur le formulaire d’incident de sécurité (masqué par défaut)
    • Impact sur l’activité sur la liste connexe Utilisateurs affectés
    • Impact sur l’activité sur la liste connexe Services affectés
    • Impact sur l’activité des vulnérabilités sur la liste connexe des éléments vulnérables
    En outre, les notes de travail sont mises à jour dans les situations suivantes :
    • Lorsqu’une association entre les utilisateurs affectés et un incident de sécurité est créée ou modifiée
    • Lorsqu’une association entre les services affectés et un incident de sécurité est créée ou modifiée
    • Lorsqu’une association entre des éléments vulnérables et un incident de sécurité est créée ou modifiée

    Les notes de travail sont également mises à jour chaque fois que l’utilisateur clique sur Mettre à jour tous les scores de risque et Effacer tous les scores de risque sur le formulaire Poids des scores de risque .

    Gérer les pondérations des scores de risque

    Les pondérations des scores de risque utilisées pour calculer les scores de risque dans les incidents de sécurité peuvent être supprimées ou mises à jour individuellement. Ils peuvent également être supprimés ou mis à jour pour tous les incidents de sécurité. La possibilité de les supprimer des incidents de sécurité est utile lors du changement des valeurs de poids.

    Avant de commencer
    Rôle requis : sn_sec_cmn.admin
    Remarque :
    Les utilisateurs disposant du rôle sn_si.read peuvent afficher la configuration du score de risque dans Réponse aux incidents de sécurité.
    Procédure
    1. Accédez à la Tous > Incident de sécurité > Configuration > Configuration du score de risque.
      Remarque :
      Les utilisateurs disposant du rôle sn_si.read peuvent afficher la configuration du score de risque en accédant à Incident de sécurité > Alertes et événements > Configuration du score des risques.
    2. Pour ajouter un nouveau poids de score de risque, cliquez sur Nouveau et saisissez les informations dans les champs.
      Champ Description
      Type Sélectionnez le type de score de risque que vous définissez.
      Valeur Spécifiez la valeur associée au type sélectionné. Si plusieurs valeurs sont disponibles pour le type, vous pouvez définir plusieurs enregistrements de poids de score de risque. Exemple : priorité d’incident de sécurité avec une valeur de 1, priorité d’incident de sécurité avec une valeur de 2, et ainsi de suite.
      Pondération Poids associé à la paire type/valeur sélectionnée. Les entrées valides sont comprises entre 0 et 100, 0 étant le poids le plus bas et 100 le poids le plus élevé.
    3. Cliquez sur Envoyer.
    4. Effectuez l’une de ces étapes, selon les besoins.
      • Pour effacer un enregistrement de poids de score de risque, ouvrez-le à partir de la liste et cliquez sur Supprimer.
      • Pour effacer tous les enregistrements de poids de score de risque, cliquez sur Effacer tous les scores de risque.
      • Pour mettre à jour tous les enregistrements de poids de score de risque, cliquez sur Mettre à jour tous les scores de risque.

    Créer un Réponse aux incidents de sécurité SLA

    Vous pouvez définir un accord sur les niveaux de service (SLA) pour Réponse aux incidents de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Configuration > SLA.
    2. Cliquez sur Nouveau.
      Pour obtenir une description des champs et des instructions détaillées, reportez-vous à la section Create an SLA definition.

    Réparer les SLA d’incidents de sécurité

    Vous pouvez réparer les enregistrements SLA pour vous assurer que les informations de calendrier et de durée des SLA sont exactes.

    Avant de commencer

    Rôle requis : sn_si.basic

    Procédure

    1. S’il n’est pas déjà ouvert, ouvrez l’incident de sécurité pour lequel vous souhaitez réparer des SLA.
    2. Cliquez sur le menu contextuel de l’en-tête du formulaire et sélectionnez Réparer les SLA :
      Réparer les SLA à partir du menu d’en-tête du formulaire
    3. Cliquez sur OK dans la zone de confirmation Avertissement.
      Pour plus d’informations, consultez Réparation des SLA.

    Créer un Runbook de réponse aux incidents de sécurité

    Un Runbook est une association entre un article de la base de connaissances publié et une tâche spécifique. Pendant que vous effectuez la tâche, un article de la base de connaissances dans le Runbook s’ouvre automatiquement et fournit des informations pertinentes pour la tâche.

    Avant de commencer

    Il doit y avoir des articles de la base de connaissances existants dans la base de Réponse aux incidents de sécurité connaissances Runbook. Lorsque vous créez un article de la base de connaissances sur les incidents de sécurité, veillez à sélectionner Runbook Security Incident Response dans le champ Base de connaissances . Après avoir publié l’article, vous pouvez cliquer sur le bouton Créer un runbook .

    Rôle requis : sn.si.knowledge_admin

    Pourquoi et quand exécuter cette tâche

    Vous pouvez utiliser des runbooks pendant les processus de création d’incidents de sécurité ou de tâches de réponse, ou vous pouvez associer les articles de la base de connaissances d’un runbook aux tâches du playbook.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Runbook manuel > Créer un nouveau Runbook.
    2. Renseignez les champs comme il convient.
      Champ Description
      Article de la base de connaissances Sélectionnez un article de la base de connaissances à inclure dans le runbook.
      Actif Cochez la case pour rendre le runbook disponible à partir du navigateur de filtre.
      Utiliser un groupe de filtres Cochez cette case pour utiliser un groupe de filtres prédéfini ou créer un nouveau groupe de filtres pour définir les critères du runbook.
      Groupe de filtres Sélectionnez le groupe de filtres à utiliser pour définir un runbook.

      Ce champ s’affiche uniquement si la case Utiliser des groupes de filtres est cochée.
      Table Sélectionnez Incident de sécurité [sn_si_incident] ou Réponse aux incidents de sécurité Tâche [sn_si_task].

      Si vous avez coché la case Utiliser un groupe de filtres et sélectionné un groupe de filtres, ce champ est défini par défaut sur la table associée au groupe de filtres sélectionné.
      Condition Définissez les conditions qui relient ce Runbook à l’incident ou à la tâche.

      Si vous avez coché la case Utiliser un groupe de filtres et sélectionné un groupe de filtres, les champs Condition ne s’affichent pas.
    3. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer.
      L’onglet Détails de l’article de la base de connaissances et une série de boutons s’affichent.
    4. Pour afficher les détails du runbook, cliquez sur l’onglet Détails de la base de connaissances .
    5. Pour afficher l’article de la base de connaissances tel qu’il apparaît à l’utilisateur, cliquez sur Afficher l’article.
    6. À Modifiez les détails de l’article de la base de connaissances, cliquez sur Modifier l’article.

    Créer des règles pour valider les attaques par hameçonnage signalées par un utilisateur

    Lorsque vos employés reçoivent des e-mails qui semblent être des attaques de phishing, ils peuvent vous les signaler à l’aide d’une adresse e-mail de phishing. L’e-mail suspect est validé à l’aide de règles définies par votre organisation.

    Avant de commencer

    Avant que les règles de correspondance d’e-mail ne puissent être utilisées pour identifier les attaques de phishing potentielles, définissez une adresse e-mail vers laquelle les e-mails transférés par vos employés seront envoyés pour traitement. Vous disposez des options suivantes pour définir cette adresse e-mail (en supposant que le domaine de messagerie de votre entreprise est acme.com) :
    • Définissez une adresse e-mail telle que acme+phishing@service-now.com. La balise +phishing est prise en charge par SMTP pour activer le filtrage et votre instance peut recevoir les e-mails qui lui sont envoyés.
    • Définissez une adresse e-mail, telle que phishing@acme.com (votre boîte aux lettres Exchange), qui la transmet à son tour à acme+phishing@service-now.com (votre boîte aux lettres d’instance définie par une règle de transfert de courrier).

    Rôle requis : sn_sec_cmn.write

    Pourquoi et quand exécuter cette tâche

    Lorsqu’un employé rencontre un e-mail suspect, il doit le transférer en pièce jointe à votre adresse e-mail d’hameçonnage. Si l’e-mail en pièce jointe correspond à une règle définissant une menace, un incident de sécurité est créé.

    Procédure

    1. Accédez à la Tous > Security Operations > Traitement des e-mails > Hameçonnage signalé par un utilisateur.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs nécessaires.
      Tableau 6. Formulaire Règles de correspondance d’e-mails
      Champ Description
      Nom Nom de cette règle de correspondance d’e-mail. Par exemple, Hameçonnage signalé par un utilisateur.
      Conditions Utiliser le Créateur de conditions permettant de valider si un e-mail envoyé à l’adresse e-mail d’hameçonnage de votre entreprise est une attaque d’hameçonnage. Consultez l’exemple suivant.
    4. Cliquez sur Envoyer.

    Exemple

    Cet exemple montre une règle de correspondance pour le traitement du hameçonnage signalé par un utilisateur.
    Figure 4. Exemple de règle de correspondance d’e-mail
    Règle de correspondance d’e-mail