Comprendre les workflows et les modèles de workflow d’Orchestration de Security Incident Response

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Le Réponse aux incidents de sécurité système de base comprend une série de workflows et de modèles de workflow conçus pour fonctionner avec les enregistrements d’incidents de sécurité.

    Avant de commencer

    Rôle requis : sn_si.basic

    Pourquoi et quand exécuter cette tâche

    Vous pouvez adapter tous les workflows et modèles de workflow pour mieux répondre à vos besoins, en supposant que vous disposez du rôle approprié : sn_sec_cmn.admin. Les workflows sont utilisés dans l’ensemble du système Security Operations pour effectuer diverses tâches.

    Toutefois, les modèles de workflow sont déclenchés par la sélection d’une valeur dans le champ Catégorie d’un incident de sécurité. Lorsque cela se produit, le modèle de workflow associé à la sélection lance un modèle de workflow qui indique aux analystes de sécurité comment gérer un type spécifique de menace.

    Par exemple, si vous sélectionnez Déni de service dans le champ Catégorie d’un incident de sécurité, le modèle Incident de sécurité - Déni de service - Modèle est exécuté et l’analyste est chargé de déterminer si la cible du déni de service est critique pour l’entreprise. Si tel est le cas, la tâche suivante entraîne la définition de la priorité de l’incident de sécurité sur 1 - Critique, puis exécute la tâche suivante. Et ainsi de suite.

    Les Réponse aux incidents de sécurité workflows et les modèles de workflow sont donc essentiellement les mêmes, sauf que les modèles sont utilisés pour un ensemble spécifique de fonctions au sein d’un incident de sécurité.

    Procédure

    1. Accédez à la Tout > Security Operations > Workflows > Voir les workflows de sécurité.
    2. Une liste des workflows et des modèles de workflow expédiés dans le système de base s’affiche.
      Tous les nouveaux workflows que vous avez créés dans la suite d’applications Opérations de sécurité sont également inclus dans la liste.
    3. Cliquez sur le nom du workflow ou du modèle de workflow que vous souhaitez afficher.
      Remarque :
      Les workflows peuvent être déclenchés de différentes manières. Sachez que l’association d’un workflow à un déclencheur de workflow ne signifie pas nécessairement que le workflow est actif.