Workflow de fermeture d’incident de sécurité

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Fermez l’incident de sécurité en mettant à jour l’état de l’incident.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité.
    2. Par exemple, accédez à Listes > Incidents de sécurité > Incidents ouverts.
    3. Ouvrez un incident que vous souhaitez fermer.
    4. Accédez à l’onglet Détails .
    5. Analysez l’état de l’incident et sélectionnez Fermer.
    6. Effectuez les activités de clôture.

      • Il s’agit d’une étape obligatoire pour examiner une tâche avant de fermer un incident de sécurité. Toutes les tâches de réponse doivent être examinées par l’analyste et fermées ou annulées avant d’être fermées en tant qu’incident de sécurité. Lorsque l’analyste clique sur Examiner les tâches actives, l’utilisateur est redirigé vers l’onglet Tâches de réponse . Un message de session s’affiche vous invitant à fermer un incident de sécurité. Cliquez sur Continuer.

      • Cliquez sur Continuer. La première étape, à savoir examiner les tâches actives lors de la fermeture de l’incident de sécurité, est terminée.
        Figure 1. Examen des tâches de fermeture
      • Passez à l’étape suivante pour examiner les playbooks actifs que l’analyste doit examiner, qui est une étape facultative. Vous pouvez cliquer sur le lien pour examiner les tâches du playbook actives et les fermer au besoin.
        Remarque :
        Tous les workflows, activités de playbook et flux actifs seront automatiquement annulés lors de la fermeture de l’incident de sécurité.
        Figure 2. Examiner les tâches du playbook
      • Rapport d’examen post-incident : vous allez maintenant passer en revue les activités post-incident pour poursuivre la fermeture. Si l’évaluation est facultative, ignorez l’étape ou, si l’évaluation est obligatoire, passez l’évaluation et terminez-la.
        Figure 3. Révision/Passer une évaluation
      • Configurer/prévisualiser le rapport : là encore, il s’agit d’une étape facultative. Cliquez sur le lien pour examiner le rapport et passer à l’étape suivante .
      • Fournir les détails de la résolution : l’analyste peut cocher la case pour créer automatiquement des articles de la base de connaissances.
      • Fournissez le code de fermeture, les notes de fermeture, puis cliquez sur Fermer l’incident.
      Remarque :
      Si l’analyste annule la boîte de dialogue Fermer l’incident de sécurité , il peut accéder à l’onglet Détails et passer l’état de l’incident à Fermer pour poursuivre la fermeture.