Résoudre un incident de sécurité

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Discutez avec un agent IA dans le Now Assist panneau pour résoudre un incident.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Pourquoi et quand exécuter cette tâche

    Important :
    Ce workflow agentique est activé par défaut. Pour plus d'informations, consultez Now Assist skills, agents, and agentic workflows on by default.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Espace de travail Réponse aux incidents de sécurité.
    2. Ouvrez l’incident de sécurité que vous souhaitez résoudre à l’aide de l’agent IA.
    3. SélectionnezNow Assist l’icône (panneau de l’agentNow Assist IA).
      Le workflow agentique Résoudre l’incident de sécurité est disponible sur demande. Vous pouvez entrer une requête en langage naturel pour résoudre un incident de sécurité à l’aide de ce workflow agentique.
    4. Dans le Now Assist panneau, demandez à l’agent de résoudre l’incident de sécurité en saisissant Résoudre cet incident, Résoudre cet incident de sécurité ou Résoudre l’incident de sécurité : SIR0012345.
      Le Now Assist panneau fournit toutes les actions que vous pouvez effectuer sur l’incident de sécurité.
    5. Sélectionnez Résoudre l’incident de sécurité.
      Exemple de plan de résolution d’un incident de sécurité.
      L’agent IA analyse l’incident de sécurité et fournit un résumé de l’incident et de son état actuel. En outre, en utilisant les détails de l’incident, les articles de la base de connaissances et des incidents de sécurité fermés similaires, l’agent IA fournit un plan de résolution.
    6. Saisissez des réponses positives telles que Cela semble bien ou OK si vous acceptez le plan de résolution.
      Pour une réponse positive, l’agent IA examine chaque étape du plan de résolution et aide l’analyste (l’utilisateur disposant du rôle sn_si.analyst) à la résoudre. Pour chaque étape, l’agent IA fournit des commentaires et des demandes d’intervention de l’analyste. Par exemple, si l’agent IA identifie l’incident généré pour un e-mail d’hameçonnage, le workflow agentique suivant se produit :
      Tableau 1. Workflow agentique pour résoudre un incident d’hameçonnage par e-mail
      Tâches de résolution d’un incident de sécurité Description
      Mettre à jour l’état de l’incident de sécurité L’agent IA met à jour l’état de l’incident de sécurité. Par exemple, si l’état de l’incident de sécurité est Brouillon, l’agent IA le met à jour sur Analyse.
      Exécuter une recherche de menace et un enrichissement des observables sur l’observable L’agent IA lance un processus de recherche de menaces et d’enrichissement des observables.

      Lorsque l’analyste confirme par une entrée positive, l’agent IA fournit le résumé de l’analyse et de l’enrichissement des observables.
      Pour les observables malveillants, envoyez un e-mail à la direction L’analyste peut demander à l’agent IA d’envoyer un e-mail à la direction.

      L’agent IA fournit un brouillon d’e-mail et demande les destinataires de l’e-mail.

      Remarque :
      L’analyste peut vérifier l’e-mail envoyé dans l’onglet Autres enregistrements .
      Vérifier avec l’utilisateur affecté s’il a interagi avec l’e-mail d’hameçonnage L’analyste vérifie manuellement avec l’utilisateur concerné s’il a interagi avec l’e-mail d’hameçonnage.
      Si l’utilisateur a interagi avec l’e-mail d’hameçonnage, réinitialisez ses informations d’identification de mot de passe Si l’utilisateur affecté a interagi avec l’e-mail d’hameçonnage, l’analyste peut demander à l’agent IA de créer un incident pour réinitialiser le mot de passe de l’utilisateur.

      L’agent IA fournit un résumé de l’incident et crée un incident lorsque l’analyste approuve le résumé.
      Bloquer l’expéditeur/l’e-mail/l’URL sur la passerelle de messagerie L’agent IA demande à l’analyste de bloquer l’expéditeur/l’e-mail/l’URL sur la passerelle de messagerie.

      L’analyste peut demander à l’agent IA de créer une tâche de réponse pour bloquer l’expéditeur/l’e-mail/l’URL sur la passerelle de messagerie.

      L’agent IA fournit les informations pour les tâches de réponse et crée une tâche de réponse une fois que l’analyste l’a approuvée.

      Remarque :
      L’analyste peut terminer la tâche de réponse et marquer la tâche de réponse comme Terminée dans l’onglet Tâches de réponse .

      L’analyste confirme à l’agent IA que la tâche de réponse est terminée.
      Rechercher et supprimer l’e-mail d’hameçonnage de toutes les boîtes de réception des utilisateurs

      L’agent IA demande à l’analyste de supprimer l’e-mail d’hameçonnage de toutes les boîtes de réception des utilisateurs.

      L’analyste supprime l’e-mail d’hameçonnage et confirme à l’agent IA.
      Inscrire l’utilisateur affecté à une formation obligatoire sur l’hameçonnage Si l’utilisateur affecté a interagi avec l’e-mail d’hameçonnage, l’agent IA informe l’analyste d’inscrire l’utilisateur affecté à la formation obligatoire sur l’hameçonnage.
      Réaliser l’audit de l’incident de sécurité L’agent IA effectue l’audit de l’incident de sécurité et fournit le résumé.
      Fermer l'incident de sécurité L’agent IA ferme l’incident. Pour plus d'informations, consultez Fermer un incident de sécurité.