Référence de l’assistant de configuration

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 31 minutes de lecture

    • L’assistant de configuration vous guide tout au long des étapes que vous devez effectuer pour configurer le système de Réponse aux incidents de sécurité base. Cette section fournit des informations supplémentaires sur les étapes complexes pour lesquelles vous pouvez avoir besoin de plus d’explications.

    Créer une définition de Réponse aux incidents de sécurité processus

    Vous pouvez créer une définition de processus pour définir la façon dont les incidents de sécurité passent d’un état à l’autre. Les définitions de processus permettent aux Service Desks et aux utilisateurs finaux de bénéficier d’aide pour suivre le problème tout au long de son cycle de vie.

    Avant de commencer

    Rôle requis : sn.si_admin

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Administration > Définition de processus.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs comme il convient.
      Tableau 1. Création de définitions de processus
      Champ Description
      Nom Nom de l’enregistrement qui décrit le processus codé dans le fichier de script include. Le nom est affiché en tant que choix dans la liste Sélecteur de définition de processus .
      Script include Nom (y compris le préfixe sn_si.) du script include contenant la définition du processus. Le script doit se trouver dans le périmètre de l’application Incident de sécurité (sn_si). Consultez Créer un script include de définition de processus personnalisé Réponse aux incidents de sécurité pour plus d'informations. Si ce champ ne contient pas de nom de script include valide, la définition de ProcessDefinition_NIST_Stateful par défaut est utilisée.
      Description Informations utiles sur le script include.
      Ordre Détermine la position dans la liste de définition du processus.
      Actif Lorsqu’elle est cochée, cette définition de processus est sélectionnable à partir de la page Sélecteur de définition de processus .
    4. Cliquez sur Envoyer.

    Présentation de la définition du processus Security Incident Response

    Réponse aux incidents de sécurité Définition du processus Remplace les flux d’états et fournit aux utilisateurs finaux et aux centres de services l’état d’un problème. Une définition de processus permet de suivre le problème tout au long de son cycle de vie. Réponse aux incidents de sécurité est une application Service Management (SM), qui possède son propre ensemble d’états. Les états non valides sont signalés dans le cadre de Sélection du processus.

    Définition du processus de Réponse aux incidents de sécurité

    La définition de processus par défaut (avec état NIST) définit les états d’incident suivants :
    Remarque :
    Les états disponibles varient en fonction de l’état actuel de l’incident.
    Tableau 2. États des définitions des processus d’incidents de sécurité
    État Description
    Brouillon L’initiateur de la demande ajoute des informations sur l’incident de sécurité, mais il n’est pas encore prêt à être traité.
    Analyse L’incident a été affecté et le problème est en cours d’analyse.
    Contenir Le problème a été identifié et le personnel de sécurité s’efforce de le contenir et de limiter les dégâts. Ces actions peuvent inclure la mise hors ligne des serveurs, la déconnexion de l’équipement d’Internet et la vérification de l’existence de sauvegardes.
    Éradiquer Le problème a été maîtrisé et le personnel de sécurité prend des mesures pour le résoudre.
    Récupérer Le problème est résolu et l’état de préparation opérationnelle des systèmes affectés est en cours de vérification.
    Revue L’incident de sécurité est terminé et tous les systèmes ont repris leurs fonctions normales. Toutefois, un examen post-incident est encore nécessaire.
    Fermé L’incident est terminé, mais avant qu’un incident de sécurité puisse être fermé, vous devez renseigner les informations dans l’onglet Informations sur la fermeture .

    Définitions des processus de tâche d’incident de sécurité

    Les définitions de processus suivantes sont utilisées pour les tâches d’incident de sécurité.

    Tableau 3. États des définitions des processus de tâches
    État Description
    Prêt La tâche est prête à être traitée une fois qu’elle a été affectée à un agent.
    Affectée La tâche est affectée à un agent.
    Travail en cours L’agent affecté travaille actuellement sur la tâche.
    Terminé La tâche est terminée.
    Annulé La tâche a été annulée.

    Le NIST prend en charge les deux modèles suivants :

    • NIST Stateful

      Cette définition de processus permet aux analystes de passer d’un état à un autre dans un ordre séquentiel sans sauter aucune étape. Par exemple, si l’analyste commence par l’état Brouillon , l’ordre séquentiel de cette définition de processus est le suivant : Brouillon>Analyse>Contenu>Éradiquer>Récupérer. Ainsi, la définition du processus avec état NIST est unidirectionnelle et permet aux analystes de progresser uniquement vers les états Forward.

      Voici un autre exemple : si l’analyste commence par l’état Analyse, l’ordre séquentiel de cette définition de processus est Analyse>Contenir>Éradiquer>Récupérer.

    • NIST Open

      Cette définition de processus permet aux analystes de passer d’un état à un autre, en avant ou en arrière. Par exemple, si l’analyste commence par l’état Analyse , l’ordre de la définition du processus peut être Analyse>Contenir>Éradiquer>Récupérer ou Analyse>Brouillon. Ainsi, la définition du processus ouvert du NIST est bidirectionnelle et permet aux analystes de passer aux états en avant ou en arrière en fonction de leurs besoins.

    Sélection du processus de Security Incident Response

    Sélection du processus Répertorie les processus avec des états non valides pour les incidents de sécurité et les tâches de réponse.

    Un administrateur peut corriger l’incident ou la tâche afin qu’il retrouve des états valides, manuellement ou à l’aide d’un script. Une liste connexe vide (aucun incident ; aucune tâche) indique que chaque tâche active est dans un état valide. Les états disponibles varient en fonction de l’état actuel de l’incident. Pour plus d'informations, consultez Corriger un état d'incident ou de tâche de sécurité non valide avec la définition du processus.

    Exemple de sélecteur de définition de processus
    Sélectionner une définition de Réponse aux incidents de sécurité processus

    Vous pouvez sélectionner la définition de processus à utiliser pour les états appropriés des incidents de sécurité et des tâches de réponse de votre société.

    Avant de commencer
    Rôle requis : admin et sn_si.admin
    Pourquoi et quand exécuter cette tâche
    Procédure
    1. Accédez à la Tous > Réponse aux incidents de sécurité > Administration > Sélection du processus.
    2. Cliquez sur l’icône de recherche pour répertorier les définitions de processus disponibles.
      Sélecteur de définition de processus
    3. Sélectionnez une définition de processus.
    4. Cliquez sur Mettre à jour.

    Créer un script include de définition de processus personnalisé Réponse aux incidents de sécurité

    Créez un script de définition de processus personnalisé pour les états appropriés aux incidents de sécurité et aux tâches de réponse de votre société.

    Avant de commencer
    Rôle requis : sn_si.admin
    Pourquoi et quand exécuter cette tâche
    Le sn_si. L’include de script principal ProcessDefinition contrôle les définitions de processus. La définition du processus détermine la définition en cours d’utilisation (à l’aide de la sélection du processus). Il appelle le fichier de script include approprié pour déterminer les états initiaux et les transitions pour les incidents de sécurité et les tâches de réponse.
    Procédure
    1. Accédez à la Tous > Définition du système > Includes de script.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs comme il convient.
      Tableau 4. Création de définitions de processus
      Champ Description
      Nom Nom de ce script include.
      Nom d'API Créé en fonction du nom du script include.
      Client joignable Met le script include à la disposition des scripts clients, des filtres de liste et de rapport, des qualificatifs de référence ou, si spécifié, dans le cadre de l’URL.
      Application Incident de sécurité
      Accessible depuis Choisissez Ce périmètre de l’application uniquement .
      Actif Lorsque cette option est cochée, ce script include peut être sélectionné dans la page Définition du processus .
      Description Informations utiles sur le script include.
      Script Définit le script côté serveur à exécuter lorsqu’il est appelé à partir d’autres scripts.

      Le script doit définir une seule classe JavaScript ou une fonction globale. Le nom de la classe ou de la fonction doit correspondre au champ Nom.

      Pour en savoir plus sur le contenu des scripts, reportez-vous à la section Script include de définition de processus.
      Formulaire Script Include de définition de processus
    4. Cliquez sur Envoyer.
    Script include de définition de processus

    Le script include Définition de processus fournit des méthodes pour définir une définition de processus.

    Implémentez les constantes, les attributs, les tableaux et les appels de méthode décrits ici pour personnaliser un script include de définition de processus.

    Où l’utiliser ?

    Utilisez ce script include pour créer une définition de processus.

    Corps du script include
    Le corps du script include est composé de trois sections :
    • Constantes : définitions de l’état initial
    • Incident de sécurité et tâche de réponse : tableaux de définition des processus
    • Appels de méthode : récupération d’informations
    Constantes

    Les constantes sont utilisées pour définir les états initiaux des incidents de sécurité et des tâches de réponse.

    L’utilisation de constantes est facultative mais encouragée pour la lisibilité. Par exemple :
    INITIAL_INCIDENT_STATE: 10,
INITIAL_TASK_STATE: 1,

    Qui sont ensuite utilisés par les méthodes suivantes :

    
getInitialIncidentState: function() {
return this.INITIAL_INCIDENT_STATE;
},
getInitialTaskState: function() {
return this.INITIAL_TASK_STATE;
},

    L’ensemble de constantes suivant définit les états des incidents de sécurité et des tâches de réponse.

    Chaque tableau contient également la définition des états disponibles lorsque l’incident ou la tâche est dans un état spécifique.

    Par exemple :
    TASK_STATES: [{state:1, label:"Draft", choice:[1, 10]},
 {state:10, label:"Ready", choice:[10, 16]},
 {state:16, label:"Assigned", choice:[16, 18]},
 {state:18, label:"Work in Progress", choice:[18, 3]},
 {state:3, label:"Close Complete", choice:[]},
 {state:7, label:"Cancelled", choice:[]},
 ],

    L’exemple est un tableau d’objets. Chaque objet définit un état et des états de transition possibles.

    L’ordre de l’objet de l’état détermine l’ordre souhaité pour le flux.

    Lorsque la tâche est à l’état « Brouillon » (valeur 1), les états possibles sont : 1 (Brouillon, qui n’est pas un changement) et 10 (Prêt, l’étape suivante du processus).

    Il n’y a pas de limite au nombre de transitions hors d’un état. Les états « Fermé terminé » et « Annulé » sont des états finaux et n’ont donc aucune transition d’état possible.

    L’ordre des attributs dans l’objet n’a pas d’importance. Si cela rend la définition plus claire, mettez l’étiquette en premier.

    Attributs
    Les attributs obligatoires d’un objet de définition d’état sont les suivants :
    • state : valeur numérique de l’état
    • Étiquette : texte lisible par l’homme associé à l’état
    • Choix : tableau de valeurs d’état vers lesquelles l’état peut effectuer la transition (détermine le contenu de la liste déroulante d’états)
    Les attributs facultatifs sont les suivants :
    • mandatory : liste des ID de champs qui deviennent obligatoires dans cet état
    • readonly : liste des ID de champs qui passent en lecture seule dans cet état
    • visible : liste des ID de champs qui deviennent visibles dans cet état
    • notmandatory : liste des ID de champs qui deviennent non obligatoires dans cet état
    • notvisible : liste des ID de champs qui ne seraient plus visibles dans cet état
    Remarque :

    Si des attributs facultatifs sont utilisés, il est de la responsabilité de l’auteur de s’assurer que les champs sont rendus visibles/invisibles, obligatoires/non obligatoires, visibles/masqués ou en lecture seule de manière appropriée entre les états.

    Par exemple, masquer un champ dans un état ne le rend pas visible dans un autre état ultérieurement, sauf si l’attribut « visible » est utilisé.

    Tableaux de définitions de flux de processus

    Pour définir les informations affichées dans le formateur de flux de processus (barre située en haut des formulaires des tâches Incident et Réponse aux incidents de sécurité), le système a besoin d’informations sur les éléments à afficher pour chaque état.

    Par exemple :
    TASK_PF: [{label:"Draft", condition:"state=1^EQ", description:"<p>Security Incident Response Task is in draft</p>"},
 {label:"Ready", condition:"state=10^EQ", description:"<p>Security Incident Response Task is ready to be assigned</p>"},
 {label:"Assigned", condition:"state=16^EQ", description:"<p>Security Incident Response Task is assigned</p>"},
 {label:"Work in Progress", condition:"state=18^EQ", description:"<p>Work has started on this Security Incident Response Task</p>"},
 {label:"Closed", condition:"state=3^ORstate=4^ORstate=7^EQ", description:"<p>Security Incident Response Task is complete</p>"},
],

    Le tableau de TASK_PF est un ensemble d’étiquettes, de conditions et de descriptions utilisées pour déterminer le texte affiché dans la barre du formateur de processus (y compris l’ordre et l’activité).

    Dans l’exemple, le texte « Prêt » est le deuxième élément affiché. Il est mis en surbrillance lorsque la tâche a satisfait à la condition 'state=10^EQ'.

    Lorsque le pointeur survole le texte, la description « La tâche Réponse aux incidents de sécurité est prête à être affectée » s’affiche.

    Remarque :

    Les états peuvent être combinés en un seul état du formateur.

    Dans l’exemple, les états « Fermé terminé » et « Annulé » s’affichent sous la forme « Fermé » dans la barre supérieure.

    Appels de méthode
    Les méthodes suivantes doivent être présentes dans le script include car elles sont utilisées par sn_si. ProcessDefinition :
    Type de retour Résumé de la méthode Description
    Chaîne getInitialIncidentState : function() renvoyer la valeur numérique initiale de l’état de l’incident
    Chaîne getInitialTaskState : fonction() : Retourner la valeur numérique de l’état de la tâche initiale
    Tableau de chaîne getIncidentStates : fonction() : renvoyer le tableau de l’état de l’incident
    Tableau de chaîne getTaskStates : fonction() : renvoyer le tableau de l’état de la tâche
    Tableau d’objets getIncidentProcessFlows : fonction() : Renvoyer le tableau de définition de flux de processus d’incident
    Tableau d’objets getTaskProcessFlows : fonction() : Renvoyer le tableau de définition du flux de processus de tâche

    L’ensemble de méthodes suivant est appelé chaque fois qu’un incident ou une tâche est mis à jour et permet de prendre des mesures sur des transitions de changement spécifiques.

    Type de retour Résumé de la méthode Description
    nul performIncidentStateChange : fonction (actuelle, précédente) Dans les exemples, cette méthode est utilisée pour définir des valeurs liées à SM et s’assurer qu’un incident sort de l’état « Brouillon » une fois qu’une personne lui est affectée.
    nul performTaskStateChange : fonction (actuelle, précédente) Dans l’exemple, cette méthode est utilisée pour mettre à jour les horodatages (lors de l’affectation et de la fermeture) et faire passer la tâche de « Prêt » à « Affecté » une fois le champ assigned_to renseigné.
    Les mêmes actions effectuées par ces deux méthodes peuvent être accomplies à l’aide d’une règle métier. En les définissant dans le script include, le changement de définitions de processus est facilité.

    Corriger un état d'incident ou de tâche de sécurité non valide avec la définition du processus

    Un administrateur peut corriger l’incident ou la tâche de sécurité sur des états valides, manuellement ou à l’aide d’un script. Les états disponibles varient en fonction de l’état actuel de l’incident.

    Avant de commencer
    Rôle requis : admin
    Pourquoi et quand exécuter cette tâche
    Une fois que vous avez changé de définition de processus, la nouvelle définition peut ne pas prendre en charge certains des anciens états. Pour corriger les états orphelins d’incident ou de tâche, vous pouvez modifier votre définition de processus, modifier votre script include ou ouvrir manuellement chaque incident ou tâche pour mettre à jour l’état. En règle générale, la mise à jour de l’état (qui peut être effectuée en bloc) est la solution la plus simple.

    Pour modifier les états en bloc, procédez comme suit :

    Procédure
    1. Accédez à la Tous > Sélection du processus.
    2. Mettez en surbrillance le champ État pour les incidents ou les tâches que vous souhaitez modifier.
    3. Double-cliquez sur le champ État dans le premier enregistrement, sélectionnez le nouvel état, puis cliquez sur la coche verte ( coche verte) pour terminer la modification.
      Exemple de définition corrigée
    4. Cliquez sur Mettre à jour.

    Créer un groupe d’incidents de sécurité

    Définissez un groupe d’incidents de sécurité et affectez-lui les rôles et les utilisateurs appropriés.

    Avant de commencer

    Rôles requis :
    • Si vous disposez du rôle user_admin, vous pouvez créer des groupes d’affectation d’incident de sécurité.
    • Si vous disposez du rôle sn_si.admin, vous pouvez créer et modifier des groupes d’affectation d’incident de sécurité.

    Pourquoi et quand exécuter cette tâche

    Les utilisateurs d’un groupe héritent des rôles du groupe. Il est donc inutile d’affecter les rôles à chaque utilisateur séparément.

    Il recommandé de créer autant de groupes que nécessaire dans votre organisation. Il est également recommandé de créer un groupe pour les administrateurs et de n’affecter le rôle administrateur qu’à ce groupe.

    Procédure

    1. Accédez à la Tous > Administration utilisateurs > Groupes ou Incident de sécurité > Configuration > Groupes.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire.
      Remarque :

      Pour plus d’informations, reportez-vous à la section Créer un groupe d’utilisateurs.

    4. Assurez-vous de sélectionner le type d’incident de sécurité pour ce groupe.
      1. Si le champ Type n’est pas visible, configurez le formulaire pour l’ajouter.
      2. Cliquez sur l'icône de verrouillage à côté du champ Type.
      3. Cliquez sur l’icône de recherche de référence ( icône de recherche)
      4. Recherchez et sélectionnez le type d’incident de sécurité .
    5. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer.
    6. Dans la liste connexe Rôles , ajoutez les rôles que chaque membre de ce groupe reçoit.
      Par exemple, si vous créez un groupe pour Réponse aux incidents de sécurité les membres de l’équipe, ajoutez sn_si.analyst. Si vous créez un groupe pour Réponse aux incidents de sécurité les administrateurs, ajoutez sn_si.admin.
    7. Dans la liste connexe Membres du groupe , ajoutez des utilisateurs à ce groupe.
    8. Cliquez sur Mettre à jour.

    Créer un groupe de calculateurs d’incidents de sécurité

    Les groupes de calculateurs d’incident de sécurité sont utilisés pour regrouper les calculateurs.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Configuration > Groupes de calculateurs d’incident de sécurité.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom Nom du calculateur d’incident de sécurité.
      Application L'application qui contient l'enregistrement.
      Ordre Ordre dans lequel le calculateur d’incident de sécurité est exécuté. Un calculateur avec une entrée d’ordre de 100 s’exécute avant un calculateur avec une entrée d’ordre de 200.
      Description Description de ce groupe de calculateurs.
      Créé par Entrez le nom de l’utilisateur qui a créé
    4. Cliquez sur Envoyer.

    Créer un calculateur d’incident de sécurité

    Les calculateurs d’incident de sécurité vous permettent de calculer la gravité d’un incident de sécurité en fonction de formules prédéfinies. Vous pouvez définir vos propres calculateurs d’incident de sécurité, selon vos besoins.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Configuration > Groupes de calculateurs d’incident de sécurité.
    2. Cliquez sur le nom du groupe pour lequel vous souhaitez créer un calculateur, ou vous pouvez créer un groupe de calculateurs.
    3. Cliquez sur Nouveau.
    4. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom Nom du calculateur d’incident de sécurité.
      Groupe de calculateurs Nom du groupe auquel ce calculateur appartient.
      Remarque :
      La création ou la modification du groupe de calculateurs devient disponible une fois que vous avez entré un nom et une table.
      Table

      Sélectionnez la table à utiliser pour cette calculatrice.

      Lorsque vous ajoutez des calculateurs à des tables autres que Vulnérabilité [sn_vul_vulnerability] et Élément vulnérable [sn_vul_vulnerable_item], vous devez ajouter des règles métier et des actions d’interface utilisateur à ces tables. Pour voir des exemples :
      • Accédez à la Définition du système > Règles métieret recherchez la règle métier Calculer la gravité sur la table Élément vulnérable [sn_vul_vulnerable_item].
      • Accédez à la Interface utilisateur du système > Actions d'interface utilisateuret recherchez l’action d’interface utilisateur Calculer la gravité sur la table Élément vulnérable [sn_vul_vulnerable_item].

      En outre, le rôle d’administrateur de vulnérabilité doit disposer de toutes les options de lecture, d’écriture (ou save_as_template) sur n’importe quelle table utilisée par un calculateur pour voir correctement les valeurs à appliquer au modèle.
      Application Application incluse dans le périmètre à laquelle le calculateur appartient.
      Ordre Ordre dans lequel le calculateur d’incident de sécurité s’exécute. Un calculateur avec une entrée d’ordre de 100 s’exécute avant un calculateur avec une entrée d’ordre de 200.
      Actif Allumez ou éteignez la calculatrice.
      Description Description de cette calculatrice.
    5. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer.
      Les onglets Conditions et Valeurs à appliquer s’affichent .
    6. Renseignez les champs de l’onglet Conditions comme il convient.
      Champ Description
      Utiliser un groupe de filtres Cochez cette case pour utiliser un groupe de filtres prédéfini ou créez un nouveau groupe de filtres pour définir les critères du calculateur.
      Groupe de filtres Sélectionnez le groupe de filtres à utiliser pour définir un calculateur.

      Ce champ s’affiche uniquement si vous avez coché la case Utiliser des groupes de filtres .
      Utiliser une condition avancée Cochez cette case pour indiquer qu’une condition de script est utilisée pour déterminer quand ce calculateur est appliqué. Lorsque vous cochez la case, un champ Scripting de condition avancée apparaît.

      Si vous avez coché la case Utiliser un groupe de filtres , ce champ est masqué.

      Remarque :
      Avant de définir des conditions avancées et d’écrire des scripts pour déterminer quand les calculateurs d’incident de sécurité sont appliqués, revenez à la liste Calculateurs d’incident de sécurité. Explorez les enregistrements de calculatrice fournis avec le système de base.
      Condition Définit les conditions de filtre de base pour déterminer si le calculateur est utilisé.

      Si vous avez coché l’une des cases Utiliser le groupe de filtres ou Utiliser des conditions avancées , ce champ est masqué.
    7. Cliquez sur l’onglet Valeurs à appliquer et renseignez les champs du formulaire comme il convient.
      Vous pouvez créer un script pour définir les valeurs à appliquer au calcul ou définir un modèle en fonction des champs de la table sélectionnée.
      Champ Description
      Utiliser des valeurs de script Cochez cette case pour définir des valeurs de champ avec un script.
      Valeurs de script Définit les valeurs auxquelles appliquer les calculs.

      Ce champ s’affiche uniquement si vous avez coché la case Utiliser les valeurs de script .
      Modèle Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer. Sélectionnez les champs et les valeurs que vous souhaitez utiliser pour le calculateur.
    8. Lorsque vous avez terminé toutes les entrées, cliquez sur Soumettre.

    Comprendre les calculateurs d’incident de sécurité

    Les calculateurs d’incident de sécurité sont utilisés pour mettre à jour les valeurs d’enregistrement lorsque les conditions prédéfinies sont remplies. Les calculateurs sont regroupés en fonction des critères utilisés pour déterminer comment les enregistrements sont mis à jour.

    Le Réponse aux incidents de sécurité système de base comprend les groupes de calculateurs et calculateurs d’incidents de sécurité suivants. Au sein de chaque groupe, c'est le premier calculateur qui correspond aux conditions qui est exécuté.

    Tableau 5. Calculateurs d’incident de sécurité dans le système de base
    Nom du groupe du calculateur d’incident de sécurité Calculatrices incluses dans le groupe Description
    Impact sur l'entreprise Agréger à partir des calculateurs de gravité Ce calculateur délègue au calculateur de criticité de sécurité qui détermine la criticité en pondérant les valeurs d’autres champs.
    Gravité Activité impactée Ce calculateur de gravité définit ses critères de sélection à l’aide d’un créateur de condition simple.
    Service critique affecté Ce calculateur de gravité définit ses critères de sélection à l’aide d’une condition avancée.

    Si l’élément de configuration de l’incident de sécurité est associé à un service aux entreprises hautement critique, les champs Score de risque, Impact sur l’entreprise et Priorité sont élevés comme défini par le calculateur.
    Changements de service critiques Ce calculateur de gravité définit ses critères de sélection à l’aide d’une condition avancée.

    Si l’incident de sécurité répond aux conditions, un script s’exécute pour définir les niveaux auxquels les champs sont élevés. Si l’élément de configuration de l’incident de sécurité est associé à un service aux entreprises très critique ou relativement critique, les champs Score de risque, Impact sur l’entreprise et Priorité sont élevés comme défini par le calculateur.
    Vecteurs d’attaque multiples Ce calculateur de gravité définit ses critères de sélection à l’aide d’un créateur de condition simple.

    Si l’élément de configuration de l’incident de sécurité est associé à des vecteurs d’attaque Web, d’e-mail et d’emprunt d’identité, les champs Score de risque, Impact sur l’entreprise et Priorité sont élevés comme défini par le calculateur.
    Définir la priorité avec la catégorie et les services Ce calculateur de gravité définit ses critères de sélection à l’aide d’un créateur de condition avancé.
    La priorité de l’incident de sécurité est définie sur 1 - Critique lorsque les conditions suivantes sont remplies :
    • L’incident de sécurité a associé des services affectés et l’un d’eux est critique.
    • La catégorie d’incident de sécurité est l’une des suivantes :
      • Déni de service
      • Harponnage
      • Activité du code malveillant
    Remarque :
    Ce calculateur est disponible dans le système de base avec le niveau tarifaire Starter Security Operation.
    Définir la priorité avec les observables Ce calculateur de gravité définit ses critères de sélection à l’aide d’un créateur de condition avancé.
    La priorité de l’incident de sécurité est définie sur1 - Critique lorsque les conditions suivantes sont remplies :
    • L’incident de sécurité a associé des services affectés et l’un d’eux est critique.
    • La catégorie d’incident de sécurité est l’une des suivantes :
      • Déni de service
      • Harponnage
      • Activité du code malveillant
    • L’un des observables ou indicateurs associés a un nombre de perceptions qui dépasse deux observations avec des indicateurs actifs (c’est-à-dire que les observables ou les indicateurs sont confirmés comme étant mauvais à partir de plusieurs sources).
    Remarque :
    Ce calculateur est disponible dans le système de base lorsque vous disposez du niveau tarifaire Advanced Security Operation et que vous activez le module d’extension Flux de menaces.
    Criticité pour l’utilisateur Obtenir la criticité de l’utilisateur Ce calculateur de gravité définit ses critères de sélection à l’aide d’un créateur de condition simple.

    Ce calculateur de gravité fait passer la criticité opérationnelle de l’utilisateur à 1 - Critique lorsque le champ Département est remplacé par Finances.
    Obtenir la criticité du groupe d’utilisateurs Ce calculateur de gravité définit ses critères de sélection à l’aide d’un créateur de condition avancé.

    Ce calculateur de gravité fournit un exemple de calculateur qui s’exécute sur les données d’une liste connexe.

    Calculateurs de gravité

    Lorsque vous créez un incident de sécurité, les champs Score de risque, Impact sur l’entreprise et Priorité contiennent des valeurs par défaut. Lorsque vous enregistrez l’incident, une règle métier valide automatiquement les informations de l’incident de sécurité par rapport aux conditions définies dans chacun de vos calculateurs de gravité actifs. Ils sont validés un calculateur de titres à la fois, dans l’ordre défini par le champ Ordre de chaque calculateur. Si les informations de l’incident de sécurité correspondent aux conditions définies dans l’un des calculateurs, les valeurs du champ de gravité sont mises à jour en fonction des règles définies dans le calculateur.

    Par exemple, supposons que vous créez un incident de sécurité pour un CI affecté et que ce CI est hautement critique. Lorsque l’incident de sécurité est enregistré, les informations de CI sont comparées aux conditions définies dans les calculateurs de gravité. Lorsque l’incident de sécurité est validé par rapport au calculateur de gravité affectée par le service critique , les champs de gravité sont automatiquement mis à jour et un message semblable au suivant apparaît en haut de l’incident de sécurité.

    Messages en haut de l’incident de sécurité

    Vous pouvez utiliser ces calculateurs de gravité tels quels ou les modifier pour mieux répondre aux besoins de votre entreprise. Par exemple, si vous souhaitez identifier les menaces Web et par e-mail spécifiques à l’unité business Finance, vous pouvez modifier les conditions du calculateur de vecteurs d’attaque multiples :
    • [Vecteur d’attaque] [contient] [Toile]
    • [Vecteur d’attaque] [contient] [Courriel]
    • [Unité business] [contient] [Finances]

    Vous pouvez également mettre à jour les valeurs de gravité d’un incident de sécurité existant à tout moment en ouvrant l’enregistrement et en cliquant sur le lien connexe Calculer la gravité .

    Calculateurs du score de risque d’incident de sécurité

    Les calculateurs Définir la priorité avec la catégorie et les services et Définir la priorité avec les observables sont utilisés pour calculer un score de risque pour un incident de sécurité.

    Calculateurs de criticité pour l’utilisateur

    Les deux calculateurs du groupe Criticité de l’utilisateur (Obtenir la criticité de l’utilisateur et Obtenir la criticité du groupe d’utilisateurs) fournissent des exemples de la façon dont vous pouvez gérer la criticité en fonction de critères définis dans un enregistrement utilisateur ou en fonction du groupe auquel un utilisateur appartient.

    Ils peuvent être modifiés selon les besoins, ou de nouveaux calculateurs de criticité utilisateur peuvent être créés.

    Le calculateur de criticité Obtenir la criticité utilisateur fait passer la criticité opérationnelle utilisateur à 1 - Critique lorsque le champ Département est remplacé par Finances.

    Le calculateur de criticité du groupe d’utilisateurs fait passer la criticité opérationnelle de l’utilisateur à 1 - Critique lorsque l’utilisateur est ajouté au groupe de base de données .
    Remarque :
    Obtenir la criticité du groupe d’utilisateurs est un exemple de calculateur qui s’exécute sur les données d’une liste connexe. Si vous souhaitez ajouter d’autres groupes afin d’initier un changement de criticité, ajoutez une liste d’sys_ids de groupe séparée par des virgules dans la première ligne du script. Exemple : var CRITICAL_GROUPS = [group1_sys_id, group2_sys_id, group3_sys_id].

    Calculs du score de risque d’incident de sécurité

    Le score de risque est calculé sous la forme d’une moyenne arithmétique qui représente le risque en fonction de la priorité d’un incident de sécurité, du type d’incident de sécurité (déni de service, spear phishing ou activité de code malveillant) et du nombre de sources ayant déclenché un score de réputation échoué sur un indicateur.

    Le score de risque permet de hiérarchiser le travail des incidents de sécurité pour les analystes.

    Les calculateurs d’incident de sécuritéDéfinir la priorité avec la catégorie et les services et Définir la priorité avec les observables sont utilisés pour calculer un score de risque pour un incident de sécurité. En outre, les règles métier suivantes déclenchent le calcul automatique des scores de risque :
    • Calculer la gravité
    • Mettre à jour le score de risque
    • Mettre à jour le score de risque SI
    Remarque :
    Le calculateur de risque disponible dans le système de base dépend de votre niveau tarifaire Security Operations.
    Lorsque vous examinez une liste d’incidents de sécurité dans le système de base, notez la colonne Score de risque .
    Figure 1. Incidents de sécurité
    Incidents de sécurité et scores de risque
    Le score de risque est calculé à l’aide de poids définis dans la configuration du score de risque.
    Figure 2. Configuration de score du risque
    Poids de score du risque

    Par exemple, si l’impact sur l’entreprise d’un incident de sécurité est défini sur 2-Élevé et que la priorité est définie sur 3-Modérée, les pondérations respectives dans la table des pondérations de score de risque sont recherchées et calculées comme suit :

    Impact opérationnel de l’incident de sécurité avec une valeur de 2 = une pondération de 60.

    Priorité de l’incident de sécurité avec une valeur de 3 = un poids de 40.

    (60 + 40)/2 = un score de risque de 50.

    La position de l’incident de sécurité dans la liste des incidents de sécurité est ensuite réorganisée en fonction de son score de risque mis à jour.

    Si, dans l’exemple ci-dessus, l’impact sur l’activité ou la priorité de l’incident de sécurité sont modifiés, le score de risque est recalculé et les modifications sont reflétées dans les notes de travail.
    Figure 3. Notes de travail
    Notes de travail après le calcul du score de risque
    Les notes de travail sont mises à jour lorsque les champs suivants sont modifiés (ce qui entraîne la mise à jour du score de risque) :
    • Impact sur l’activité sur le formulaire d’incident de sécurité
    • Priorité sur le formulaire d’incident de sécurité
    • Gravité sur le formulaire d’incident de sécurité (masquée par défaut)
    • Impact sur l’entreprise sur la liste connexe des utilisateurs affectés
    • Impact sur l’entreprise sur la liste connexe Services affectés
    • Impact sur l’entreprise sur les vulnérabilités de la liste connexe des éléments vulnérables
    En outre, les notes de travail sont mises à jour dans les situations suivantes :
    • Lorsqu’une association entre les utilisateurs affectés et un incident de sécurité est créée ou modifiée
    • Lorsqu’une association entre les services affectés et un incident de sécurité est créée ou modifiée
    • Lorsqu’une association entre des éléments vulnérables et un incident de sécurité est créée ou modifiée

    Les notes de travail sont également mises à jour chaque fois que vous cliquez sur Mettre à jour tous les scores de risque et Effacer tous les scores de risque sur le formulaire Poids de score de risque .

    Conserver les pondérations des scores de risque

    Les pondérations de score de risque utilisées pour calculer les scores de risque dans les incidents de sécurité peuvent être supprimées ou mises à jour individuellement. Ils peuvent également être supprimés ou mis à jour pour tous les incidents de sécurité. La possibilité de les supprimer des incidents de sécurité est utile lors du changement des valeurs de poids.

    Avant de commencer
    Rôle requis : sn_sec_cmn.admin
    Remarque :
    Les utilisateurs disposant du rôle sn_si.read peuvent afficher la configuration du score de risque dans Réponse aux incidents de sécurité.
    Procédure
    1. Accédez à la Tous > Incident de sécurité > Configuration > Configuration du score du risque.
      Remarque :
      Les utilisateurs disposant du rôle sn_si.read peuvent afficher la configuration du score de risque en accédant à Incident de sécurité > Alertes et événements > Configuration de score du risque.
    2. Pour ajouter une nouvelle pondération de score de risque, cliquez sur Nouveau et saisissez des informations dans les champs.
      Champ Description
      Type Sélectionnez le type de score de risque que vous définissez.
      Valeur Spécifiez la valeur associée au type sélectionné. Si plusieurs valeurs sont disponibles pour le type, vous pouvez définir plusieurs enregistrements de poids de score de risque. Exemple : priorité de l’incident de sécurité avec une valeur de 1, priorité de l’incident de sécurité avec une valeur de 2, et ainsi de suite.
      Poids Le poids associé à la paire type/valeur sélectionnée. Les entrées valides sont comprises entre 0 et 100, 0 étant le poids le plus bas et 100 le poids le plus élevé.
    3. Cliquez sur Envoyer.
    4. Effectuez l’une de ces étapes, selon vos besoins.
      • Pour effacer un enregistrement de poids de score de risque, ouvrez-le dans la liste et cliquez sur Supprimer.
      • Pour effacer tous les enregistrements de poids de score de risque, cliquez sur Effacer tous les scores de risque.
      • Pour mettre à jour tous les enregistrements de poids de score de risque, cliquez sur Mettre à jour tous les scores de risque.

    Créer un Réponse aux incidents de sécurité SLA

    Vous pouvez définir un accord sur les niveaux de service (SLA) pour Réponse aux incidents de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Configuration > SLA.
    2. Cliquez sur Nouveau.
      Pour obtenir une description des champs et des instructions détaillées, reportez-vous à la section Create an SLA definition.

    Réparer les SLA d’incident de sécurité

    Vous pouvez réparer les enregistrements SLA pour vous assurer que les informations de calendrier et de durée des SLA sont exactes.

    Avant de commencer

    Rôle requis : sn_si.basic

    Procédure

    1. S’il n’est pas déjà ouvert, ouvrez l’incident de sécurité pour lequel vous souhaitez réparer les SLA.
    2. Cliquez sur le menu contextuel de l’en-tête du formulaire et sélectionnez Réparer les SLA :
      Réparer les SLA à partir du menu d’en-tête du formulaire
    3. Cliquez sur OK dans la zone Confirmation d’avertissement.
      Pour plus d’informations, reportez-vous à la section Réparer les SLA.

    Créer un runbook de Réponse aux incidents de sécurité

    Un runbook est une association entre un article de la base de connaissances publié et une tâche spécifique. Pendant que vous effectuez la tâche, un article de la base de connaissances dans le runbook s’ouvre automatiquement, fournissant des informations pertinentes pour la tâche.

    Avant de commencer

    Il doit y avoir des articles de la base de connaissances existants dans la base de Réponse aux incidents de sécurité connaissances Runbook. Lorsque vous créez un article de la base de connaissances sur les incidents de sécurité, assurez-vous de sélectionner Runbook Security Incident Response dans le champ de la base de connaissances . Après avoir publié l’article, vous pouvez cliquer sur le bouton Créer un Runbook .

    Rôle requis : sn.si.knowledge_admin

    Pourquoi et quand exécuter cette tâche

    Vous pouvez utiliser des runbooks pendant les processus de création de tâches de réponse ou d’incident de sécurité, ou associer les articles de la base de connaissances d’un runbook à des tâches du playbook.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Runbook manuel > Créer un nouveau Runbook.
    2. Renseignez les champs comme il convient.
      Champ Description
      Article de la base de connaissances Sélectionnez un article de la base de connaissances à inclure dans le runbook.
      Actif Cochez la case pour rendre le runbook disponible à partir du navigateur de filtre.
      Utiliser un groupe de filtres Cochez cette case pour utiliser un groupe de filtres prédéfini ou créez un groupe de filtres pour définir les critères du runbook.
      Groupe de filtres Sélectionnez le groupe de filtres à utiliser pour définir un runbook.

      Ce champ s’affiche uniquement si la case Utiliser les groupes de filtres est cochée.
      Table Sélectionnez Incident de sécurité [sn_si_incident] ou Réponse aux incidents de sécurité Tâche [sn_si_task].

      Si vous avez coché la case Utiliser un groupe de filtres et que vous avez sélectionné un groupe de filtres, ce champ est défini par défaut sur la table associée au groupe de filtres sélectionné.
      Condition Définissez les conditions qui connectent ce runbook à l’incident ou à la tâche.

      Si vous avez coché la case Utiliser un groupe de filtres et sélectionné un groupe de filtres, les champs Condition ne s’affichent pas.
    3. Cliquez avec le bouton droit sur l'en-tête du formulaire, puis sélectionnez Enregistrer.
      L’onglet Détails de l’article de la base de connaissances et une série de boutons s’affichent.
    4. Pour afficher les détails du runbook, cliquez sur l’onglet Détails de la base de connaissances .
    5. Pour afficher l’article de la base de connaissances tel qu’il apparaît à l’utilisateur, cliquez sur Afficher l’article.
    6. Pour Modifiez les détails de l’article de la base de connaissances, cliquez sur Modifier l’article.

    Créer des règles pour valider les attaques de phishing signalées par les utilisateurs

    Lorsque vos employés reçoivent des e-mails qui semblent être des attaques de phishing, ils peuvent vous les signaler à l’aide d’une adresse e-mail de phishing. L’e-mail suspect est validé à l’aide de règles définies par votre organisation.

    Avant de commencer

    Avant que les règles de correspondance des e-mails puissent être utilisées pour identifier les attaques de hameçonnage potentielles, définissez une adresse e-mail vers laquelle les e-mails transférés par vos employés seront envoyés à des fins de traitement. Les options suivantes vous permettent de définir cette adresse e-mail (en supposant que le domaine de messagerie de votre entreprise est acme.com) :
    • Définissez une adresse e-mail telle que acme+phishing@service-now.com. La balise +hameçonnage est prise en charge par SMTP pour activer le filtrage et votre instance peut recevoir les e-mails qui lui sont envoyés.
    • Définissez une adresse e-mail, par exemple phishing@acme.com (votre boîte aux lettres Exchange), qui à son tour la transfère à acme+phishing@service-now.com (votre boîte aux lettres d’instance définie par une règle de transfert de courrier).

    Rôle requis : sn_sec_cmn.write

    Pourquoi et quand exécuter cette tâche

    Lorsqu’un employé rencontre un e-mail suspect, il doit le transférer en pièce jointe à votre adresse e-mail d’hameçonnage. Si l’e-mail joint correspond à une règle définissant une menace, un incident de sécurité est créé.

    Procédure

    1. Accédez à la Tous > Security Operations > Traitement des e-mails > Hameçonnage signalé par un utilisateur.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs nécessaires.
      Tableau 6. Formulaire Règles de correspondance d’e-mail
      Champ Description
      Nom Nom de cette règle de correspondance d’e-mail. Par exemple, Hameçonnage signalé par un utilisateur.
      Conditions Utiliser le Créateur de condition permettant de valider si un e-mail envoyé à l’adresse e-mail de hameçonnage de votre entreprise est une attaque de hameçonnage. Reportez-vous à l’exemple suivant.
    4. Cliquez sur Envoyer.

    Exemple

    Cet exemple montre une règle de correspondance pour la gestion du hameçonnage signalé par l’utilisateur.
    Figure 4. Exemple de règle de correspondance d’e-mail
    Règle de correspondance d’e-mail