Gestion des tickets de sécurité

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Gestion des tickets de sécurité fournit aux analystes de sécurité engagés dans la chasse aux menaces un moyen de recueillir des informations sur les activités suspectes dans leur environnement. Les enregistrements liés aux tickets, tels que les incidents de sécurité, les observables, les CI et les utilisateurs affectés, peuvent être ajoutés aux tickets pour permettre une analyse large et spécifique.

    Grâce à la possibilité de parcourir facilement les enregistrements et les informations connexes, les analystes peuvent évaluer s’ils sont confrontés à une campagne ciblée, à une menace persistante avancée, etc.

    Les tickets de sécurité peuvent être créés à partir de différentes sources sur votre instance, notamment Gestion des tickets de sécurité, Réponse aux incidents de sécurité et Renseignements sur les menaces. Vous pouvez également créer des tickets à partir d’éléments de configuration et d’utilisateurs affectés dans les tables Éléments de configuration [cmdb.ci] et Utilisateurs [sys.user], respectivement. Une fois les tickets créés, chacune de ces sources peut également être utilisée pour ajouter de précieuses ressources d’analyse à des tickets existants.

    Chaque ticket de sécurité se compose de trois sections principales, une section d’en-tête, une section avec des détails supplémentaires sur le ticket et une section d’artefacts de ticket contenant une collection d’enregistrements qui aident à construire un argument pour identifier et traiter des menaces particulières.

    En-tête de ticket

    Figure 1. Section d’en-tête de ticket
    En-tête de ticket

    L’en-tête du ticket fournit des informations de base utilisées pour identifier et classifier le ticket de sécurité. Le numéro de ticket utilise le préfixe SECC.

    Détails du ticket supplémentaire

    Figure 2. Section des détails supplémentaires du ticket
    Détails du ticket supplémentaire

    La section Détails supplémentaires du ticket fournit des informations spécifiques à l’analyse qui a déjà été effectuée sur le ticket, y compris son état actuel, ainsi que des notes de travail et des activités enregistrées pour le ticket.

    Artefacts de tickets

    Figure 3. Section des artefacts de tickets
    Artefacts de tickets

    La section Artefacts de ticket fournit une série d’onglets d’informations contenus dans le ticket de sécurité.

    Vous pouvez effectuer des recherches dans le contenu de chaque onglet. Vous pouvez également exclure des enregistrements spécifiques que vous avez déjà évalués comme étant sûrs ou qui n’ont aucune valeur dans votre enquête. Les enregistrements exclus ne sont pas supprimés, mais masqués. Si nécessaire, vous pouvez afficher les enregistrements exclus et les rajouter.

    Dans chaque onglet, vous pouvez cliquer sur l’icône Détails supplémentaires pour afficher les informations relatives à l’enregistrement sélectionné. Par exemple, si vous cliquez sur l’onglet Éléments de configuration pour afficher l’explorateur d’éléments de configuration et que vous cliquez sur Détails supplémentaires pour un CI spécifique, vous pouvez afficher les incidents, les éléments vulnérables et les annotations associés à ce CI.
    Figure 4. Case Artifacts (Artefacts de ticket) : détails connexes
    Données connexes sur les CI
    Vous pouvez également sélectionner un enregistrement et cliquer sur le bouton Annoter d’un artefact lié au ticket pour ajouter des annotations à l’enregistrement. Les annotations sont simplement des notes que chaque analyste peut faire sur un artefact particulier.
    Figure 5. Annotations de sécurité
    Annotations
    D’autres outils que l’analyste peut utiliser pour examiner les cas comprennent :