Workflow de fermeture d’incident de sécurité

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Fermez l’incident de sécurité en mettant à jour l’état de l’incident.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Procédure

    1. Accédez à la Espaces de travail > Espace de travail Réponse aux incidents de sécurité.
    2. Par exemple, accédez à Listes > Incidents de sécurité > Incidents ouverts.
    3. Ouvrez un incident que vous souhaitez fermer.
    4. Accédez à l’onglet Détails .
    5. Explorez l’état de l’incident et sélectionnez Fermer.
    6. Effectuez les activités de clôture.

      • Il s’agit d’une étape obligatoire pour examiner n’importe quelle tâche avant de fermer un incident de sécurité. Toutes les tâches de réponse doivent être examinées par l’analyste et fermées ou annulées avant d’être fermées en tant qu’incident de sécurité. Lorsque l’analyste clique sur Examiner les tâches actives, il dirige l’utilisateur vers l’onglet Tâches de réponse . Un message de session s’affiche et indique que vous êtes sur le point de fermer un incident de sécurité. Cliquez sur Continuer.

      • Cliquez sur Continuer. La première étape – examiner les tâches actives lors de la fermeture de l’incident de sécurité – est terminée.
        Figure 1. Examen des tâches de fermeture
        Fermer la fenêtre contextuelle de l’incident de sécurité : Examen des tâches actives.
      • Passez à l’étape suivante pour examiner les playbooks actifs pour que l’analyste les examine, qui est une étape facultative. Vous pouvez cliquer sur le lien pour examiner les tâches Playbook actives et les fermer si nécessaire.
        Remarque :
        Tous les workflows, activités de Playbook et flux actifs seront automatiquement annulés lors de la fermeture de l’incident de sécurité.
        Figure 2. Examiner les tâches du playbook
        Fermez la fenêtre contextuelle de l’incident de sécurité : Examen des playbooks actifs.
        Utilisation du playbook manuel d’hameçonnage pour analyser un incident d’hameçonnage signalé par un utilisateur.
      • Rapport d’examen post-incident : vous allez maintenant passer en revue les activités post-incident pour poursuivre la fermeture. Si l’évaluation est facultative, ignorez l’étape ou, si l’évaluation est obligatoire, passez l’évaluation et terminez-la.
        Figure 3. Vérifier/passer en revue
        Fermez la fenêtre contextuelle de l’incident de sécurité : Effectuer une évaluation.
        Revue post-incident : évaluation de l’incident.
      • Configurer/prévisualiser le rapport : Il s’agit à nouveau d’une étape facultative. Cliquez sur le lien pour examiner le rapport et passer à l’étape suivante .
        Revue post-incident : rapports de l’incident.
      • Fournir les détails de la résolution : l’analyste peut cocher la case pour créer automatiquement des articles de la base de connaissances.
      • Fournissez le code de fermeture, les notes de fermeture et cliquez sur Fermer l’incident.
        Fermer la fenêtre contextuelle de l’incident de sécurité : fournir un code de fermeture et des notes de fermeture.
      Remarque :
      Si l’analyste annule la boîte de dialogue Fermer l’incident de sécurité , il peut accéder à l’onglet Détails et changer l’état de l’incident sur Fermé pour poursuivre la fermeture.