Présentation de Réponse aux incidents de sécurité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 6 minutes de lecture

    • Avec Réponse aux incidents de sécurité (SIR), gérez le cycle de vie de vos incidents de sécurité, de l’analyse initiale à l’émancipation, à l’éradication et à la récupération. Security Incident Response vous permet d’obtenir une compréhension complète des procédures de réponse aux incidents exécutées par vos analystes, et de comprendre les tendances et les goulots d’étranglement de ces procédures grâce à des tableaux de bord et des rapports basés sur l’analyse.

    Regardez cette vidéo de neuf minutes pour en savoir plus sur le processus SIR, son utilisation Réponse aux incidents de sécurité pour contrecarrer les attaques et l’affichage de l’activité de sécurité dans l’Explorateur Réponse aux incidents de sécurité .

    Les intégrations intégrées avec des solutions de cybersécurité tierces et les intégrations développées par des partenaires à partir de la ServiceNow boutique permettent l’automatisation et l’orchestration de la sécurité pour une réponse efficace et précise aux incidents.

    Pour protéger vos enquêtes et préserver la confidentialité des incidents de sécurité, Réponse aux incidents de sécurité fournit les moyens de restreindre l’accès au système à des rôles et des ACL spécifiques liés à la sécurité. L’accès aux personnes qui ne sont pas des administrateurs de sécurité peut être restreint, sauf si vous leur autorisez expressément l’accès.
    Remarque :
    Les administrateurs de système informatique [admin] peuvent emprunter l’identité d’utilisateurs ServiceNow. Toutefois, lorsque vous empruntez l’identité d’un utilisateur disposant du rôle d’administrateur d’application pour Réponse aux incidents de sécurité, un administrateur ne peut pas accéder aux fonctionnalités accordées par ce rôle, y compris les incidents de sécurité et les informations de profil. L’accès aux modules et aux applications dans la barre de navigation est également restreint. En outre, l’administrateur ne peut pas modifier le mot de passe d’un utilisateur ayant un rôle d’administrateur d’application pour Security Incident Response.

    Flux d’informations de Security Incident Response

    Security Incident Response utilise le flux d’informations suivant, de l’intégration à l’enquête, puis à la résolution et à l’examen.

    Remarque :
    Il s’agit d’une infographie interactive, vous pouvez donc essayer de cliquer sur l’une des icônes ou étapes de l’image pour en savoir plus sur ce processus ou cette tâche.
    Flux d’informations de Security Incident ResponseCliquez sur cette image pour en savoir plus sur les intégrations SIRCliquez sur cette image pour en savoir plus sur la création d’incidents de sécuritéCliquez sur cette image pour en savoir plus sur Threat IntelligenceCliquez sur cette image pour en savoir plus sur l’espace de travail SIRCliquez sur cette image pour en savoir plus sur les fonctionnalités d’attaque MITRECliquez sur cette image pour en savoir plus sur les activités de revue post-incident

    Découverte

    Les incidents de sécurité peuvent être journalisés ou créés de la manière suivante.
    • À partir du formulaire d’incident de sécurité
    • À partir d’événements générés en interne, ou créés par des systèmes externes de surveillance ou de suivi des vulnérabilités via des règles d’alerte, ou manuellement
    • À partir de systèmes externes de surveillance ou de suivi
    • À partir du catalogue de services

    Analyse

    En fonction de la vue sélectionnée que vous utilisez (par défaut, sécurité non informatique, ITIL de sécurité, etc.), le formulaire d’incident de sécurité peut afficher n’importe quelle combinaison de vulnérabilités, d’incidents, de changements, de problèmes, de tâches sur le CI affecté et les groupes de CI affectés. Le système peut identifier les programmes malveillants, les virus et d’autres zones de vulnérabilité en croisant la base de données du National Institute of Standards and Technology (NIST) ou un autre logiciel de détection tiers. Au fur et à mesure que les incidents de sécurité sont résolus, vous pouvez utiliser n’importe quel incident pour créer un article de la base de connaissances de sécurité pour référence ultérieure.

    Effectuez une analyse plus approfondie à l’aide d’une carte des services aux entreprises pour localiser les autres systèmes ou services aux entreprises affectés qui peuvent être infectés.

    Confinement, éradication et reprise

    Tout en surveillant et en analysant les vulnérabilités, vous pouvez créer et affecter des tâches à d’autres départements. Vous pouvez utiliser une carte des services aux entreprises pour créer des tâches, des problèmes ou des changements pour tous les systèmes affectés, les documents, les activités, les messages SMS, les appels de pont, etc.

    Revue

    Une fois l’incident résolu, d’autres étapes peuvent avoir lieu avant la fermeture. Vous pouvez effectuer une révision post-incident. La création d’articles de la base de connaissances peut aider à résoudre de futurs incidents similaires. Les incidents importants peuvent nécessiter un examen de résolution post-incident. Cet examen peut prendre plusieurs formes. Par exemple :
    • Organisez une réunion pour discuter de l’incident et recueillir des réponses.
    • Rédigez et distribuez aux équipes qui ont travaillé sur un incident une liste de questions d’examen de résolution conçues pour chaque catégorie ou priorité d’incident.
    • Les gestionnaires d’incidents peuvent rédiger le rapport et recueillir des informations par eux-mêmes.
    Un rapport d’examen de la résolution des incidents peut être généré automatiquement et comprend :
    1. un résumé de ce qui a été fait ;
    2. la chronologie
    3. Type d’incident de sécurité rencontré
    4. tous les incidents, changements, problèmes, tâches, groupes de CI associés
    5. Les détails de la résolution
    De plus, un système automatisé d’enquête d’examen de la résolution des incidents de sécurité est disponible. Il rassemble les noms de tous les utilisateurs affectés à un incident de sécurité et envoie une enquête personnalisée pour recueillir des données sur la gestion de l’incident. Ces données peuvent ensuite être mises à disposition dans un rapport d’examen d’incident de sécurité généré, que vous pouvez modifier dans une version finale. Des données similaires peuvent être ajoutées à un article de la base de connaissances pour contenir les enseignements tirés et les étapes à suivre pour résoudre des problèmes similaires à l’avenir.

    Demander des applications dans l'App Store

    Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.

    Terminologie de Security Incident Response

    Les termes suivants sont utilisés dans Réponse aux incidents de sécurité.
    Terme Définition
    Actif Tout incident de sécurité dont l’état n’est pas fermé ou annulé.
    Verrouillage de l’administrateur La possibilité de restreindre Réponse aux incidents de sécurité l’accès au personnel ayant des rôles et des ACL liés à la sécurité.
    Demandes de sécurité entrantes Demandes soumises pour des demandes de sécurité à faible impact, telles que la demande d’un nouveau badge électronique.
    Gérer les activités post-incident Examen des origines et du traitement d’un incident de sécurité Le produit final est un rapport post-incident, qui documente toutes les actions effectuées et les raisons pour lesquelles elles sont effectuées.
    Tâches de réponse Tâches affectées à un incident de sécurité pour le suivi des actions en réponse à la menace.
    Comprendre les calculateurs d’incidents de sécurité Les calculateurs sont utilisés pour mettre à jour les valeurs d’enregistrement lorsque les conditions préconfigurées sont remplies.
    Arborescences des incidents de sécurité Type de graphique qui affiche hiérarchiquement les données d’incident de sécurité sous la forme de rectangles imbriqués.
    Recherche de menace Demande soumise à partir du catalogue des incidents de sécurité pour l’analyse des fichiers, des URL et des adresses IP à la recherche de programmes malveillants.
    Analyse de vulnérabilité Demande lancée à partir du formulaire d’incident de sécurité pour l’analyse des ressources affectées (serveurs, ordinateurs et autres éléments de configuration) à la recherche de vulnérabilités.