Modèle de workflow Security Incident Reconnaissance

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • La reconnaissance est généralement une étape préliminaire à une nouvelle attaque visant à exploiter un appareil ou un système. Le modèle Incident de sécurité - Reconnaissance - vous permet d’effectuer une série de tâches conçues pour gérer la reconnaissance sur votre réseau.

    Avant de commencer

    Rôle requis : sn_si.write

    Pourquoi et quand exécuter cette tâche

    Le workflow est déclenché lorsque la catégorie d’un incident de sécurité est définie sur Activité de reconnaissance. Cette action entraîne la création d’une tâche de réponse pour la première activité du workflow.

    Figure 1. Activité de reconnaissance
    Modèle de workflow de reconnaissance

    Procédure

    1. Ouvrez l’incident de sécurité pour cette attaque potentielle ou créez un nouvel incident de sécurité.
    2. Dans Catégorie, sélectionnez Activité de reconnaissance.
    3. Enregistrez l'enregistrement.
    4. Faites défiler vers le bas et ouvrez la liste connexe Tâches de réponse .
      La première d’une série de tâches de réponse s’affiche. Chaque fois que l’enregistrement est enregistré, votre réponse à la tâche précédente entraîne la création de la tâche de réponse suivante ou la fin du workflow.
      Tableau 1. Tâches de réponse dans le modèle de reconnaissance
      Tâche de réponse Action Résultats
      Activité de reconnaissance vérifiée ? Déterminez si toute reconnaissance observée a été vérifiée.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Identifier les systèmes impactés est exécutée.

      Si vous sélectionnez Non, le flux se termine.
      Identifier les systèmes impactés Déterminer les systèmes touchés par la reconnaissance. Lorsque cette tâche est terminée, la tâche Autoriser la reconnaissance pour l’analyse des forces de l’ordre ? est exécutée.
      Autoriser la reconnaissance pour l’analyse des forces de l’ordre ? Déterminez si vous souhaitez que la reconnaissance soit analysée par les forces de l’ordre.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Processus d’application de la loi est exécutée.

      Si vous sélectionnez Non, la tâche Mettre à jour le(s) système(s) pour empêcher la reconnaissance est exécutée.
      Processus d’application de la loi Exécutez le processus d’application de la loi tel que défini par votre société. Lorsque cette tâche est terminée, le (s) système(s) de mise à jour pour empêcher la tâche de reconnaissance est exécutée.
      Mettre à jour le(s) système(s) pour empêcher la reconnaissance Effectuez les étapes nécessaires pour mettre à jour les systèmes affectés par la reconnaissance. Lorsque cette tâche est terminée, la tâche Définir l’état sur Examiner est exécutée.
      Définir l’état sur Révision Aucune action n'est requise. L’état de l’incident de sécurité passe automatiquement à Examiner et la tâche de réunion Leçons apprises est exécutée.
      Réunion sur les enseignements tirés Organisez une réunion sur les enseignements tirés afin de trier le travail effectué pour cet incident de reconnaissance.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Lorsque cette tâche est terminée, le flux se termine.