Référence de l’assistant de configuration

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 32 minutes de lecture

    • L’assistant de configuration vous guide tout au long des étapes à suivre pour configurer le système de Réponse aux incidents de sécurité base. Cette section fournit des informations supplémentaires sur les étapes complexes pour lesquelles vous aurez peut-être besoin de plus d’explications.

    Créer une définition de Réponse aux incidents de sécurité processus

    Vous pouvez créer une définition de processus pour définir la manière dont les incidents de sécurité passent d’un état au suivant. Les définitions de processus permettent aux centres de services et aux utilisateurs finaux de suivre le problème tout au long de son cycle de vie.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Administration > Définition de processus.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs comme il convient.
      Tableau 1. Création de définitions de processus
      Champ Description
      Nom Nom de l’enregistrement qui décrit le processus codé dans le fichier d’inclusion de script. Le nom s’affiche sous forme de choix dans la liste Process Definition Selector (Sélecteur de définition de processus ).
      Include de script Nom (y compris le préfixe sn_si.) de l’include de script contenant la définition du processus. Le script doit se trouver dans le périmètre de l’application Incident de sécurité (sn_si). Consultez Créer un include de script de définition de processus personnalisé Réponse aux incidents de sécurité pour plus d'informations. Si ce champ ne contient pas de nom d’include de script valide, la définition de ProcessDefinition_NIST_Stateful par défaut est utilisée.
      Description Informations utiles sur l’include de script.
      Ordre Détermine la position dans la liste des définitions de processus.
      Actives Lorsque cette option est cochée, cette définition de processus peut être sélectionnée à partir de la page Sélecteur de définition de processus .
    4. Cliquez sur Envoyer.

    Comprendre la définition du processus de Réponse aux incidents de sécurité

    Réponse aux incidents de sécurité Définition de processus remplace les flux d’états et fournit aux utilisateurs finaux et aux centres de services l’état d’un problème. Une définition de processus permet de suivre le problème tout au long de son cycle de vie. Réponse aux incidents de sécurité est une application Service Management (SM), qui possède son propre ensemble d’états. Les états non valides sont signalés comme faisant partie de Sélection du processus.

    Définition du processus de Réponse aux incidents de sécurité

    La définition de processus par défaut (avec état NIST) définit les états d’incident suivants :
    Remarque :
    Les états disponibles varient en fonction de l’état actuel de l’incident.
    Tableau 2. États de définitions des processus d’incidents de sécurité
    État Description
    Brouillon L’initiateur de la demande ajoute des informations sur l’incident de sécurité, mais celles-ci ne sont pas encore prêtes à être traitées.
    Analyse L’incident a été affecté et le problème est en cours d’analyse.
    Contenir Le problème a été identifié et le personnel de sécurité s’efforce de le contenir et de limiter les dégâts. Ces actions peuvent inclure la mise hors ligne des serveurs, la déconnexion de l’équipement d’Internet et la vérification de l’existence de sauvegardes.
    Éradiquer Le problème a été maîtrisé et le personnel de sécurité prend des mesures pour le résoudre.
    Récupérer Le problème est résolu et l’état de préparation opérationnelle des systèmes affectés est en cours de vérification.
    Examen L’incident de sécurité est terminé et tous les systèmes ont repris leur fonctionnement normal, mais un examen post-incident reste nécessaire.
    Fermé L’incident est terminé, mais avant de pouvoir fermer un incident de sécurité, vous devez renseigner les informations de l’onglet Informations sur la fermeture .

    Définitions des processus de tâche d’incident de sécurité

    Les définitions de processus suivantes sont utilisées pour les tâches d’incident de sécurité.

    Tableau 3. États de définitions des processus de tâches
    État Description
    Prêt La tâche est prête à être traitée une fois affectée à un agent.
    Affectée La tâche est affectée à un agent.
    En cours de résolution L’agent affecté travaille sur la tâche.
    Terminé La tâche est terminée.
    Annulé La tâche a été annulée.

    Le NIST prend en charge les deux modèles suivants :

    • Avec état NIST

      Cette définition de processus permet aux analystes de passer d’un état à un autre dans un ordre séquentiel sans ignorer aucune étape. Par exemple, si l’analyste commence par l’état Brouillon , l’ordre séquentiel de cette définition de processus est Brouillon>Analyse>Contenir>Éradiquer>Récupérer. Ainsi, la définition du processus avec état NIST est unidirectionnelle et permet aux analystes de progresser uniquement vers les états avant.

      Voici un autre exemple : si l’analyste commence par l’état Analyse, l’ordre séquentiel de cette définition de processus est Analyse>Contenir>Éradiquer>Récupérer.

    • Ouvert NIST

      Cette définition de processus permet aux analystes de passer d’un état à un autre, en avant ou en arrière. Par exemple, si l’analyste commence par l’état Analyse , l’ordre de la définition du processus peut être Analyse>Contenir>Éradiquer>Récupérer ou Analyse>Brouillon. Ainsi, la définition du processus NIST Open est bidirectionnelle et permet aux analystes de passer à des états en avant ou en arrière en fonction de leurs besoins.

    Sélection du processus de Réponse aux incidents de sécurité

    Réponse aux incidents de sécurité La sélection de processus répertorie les processus avec des états non valides pour les incidents de sécurité et les tâches de réponse.

    Un administrateur peut corriger l’incident ou la tâche pour rétablir des états valides manuellement ou à l’aide d’un script. Une liste connexe vide (aucun incident ni aucune tâche) indique que chaque tâche active est dans un état valide. Les états disponibles varient en fonction de l’état actuel de l’incident. Pour plus d'informations, consultez Corriger un incident de sécurité ou un état de tâche non valide avec la définition de processus.

    Sélectionner une définition de Réponse aux incidents de sécurité processus

    Vous pouvez sélectionner la définition de processus à utiliser pour les états appropriés pour les incidents de sécurité et les tâches de réponse de votre entreprise.

    Avant de commencer
    Rôle requis : admin et sn_si.admin
    Pourquoi et quand exécuter cette tâche
    Procédure
    1. Accédez à la Tous > Réponse aux incidents de sécurité > Administration > Sélection du processus.
    2. Sélectionnez l’icône de recherche pour répertorier les définitions de processus disponibles.
      Sélecteur de définition de processus
    3. Sélectionnez une définition de processus.
    4. Sélectionnez Mettre à jour.

    Créer un include de script de définition de processus personnalisé Réponse aux incidents de sécurité

    Créez un script de définition de processus personnalisé pour les états appropriés des incidents de sécurité et des tâches de réponse de votre entreprise.

    Avant de commencer
    Rôle requis : sn_si.admin
    Pourquoi et quand exécuter cette tâche
    Le sn_si. Le script principal ProcessDefinition comprend des définitions de processus de contrôles. Process Definition détermine quelle définition est utilisée (à l’aide de la sélection de processus). Il appelle le fichier d’inclusion de script approprié pour déterminer les états initiaux et les transitions pour les incidents de sécurité et les tâches de réponse.
    Procédure
    1. Accédez à la Tous > Définition du système > Inclusions de script.
    2. Sélectionnez Nouveau.
    3. Renseignez les champs comme il convient.
      Tableau 4. Création de définitions de processus
      Champ Description
      Nom Nom de cette inclusion de script.
      Nom de l'API Créé d’après le nom de l’include de script.
      Client joignable Met l’include de script à la disposition des scripts clients, des filtres de liste et de rapport, des qualificatifs de référence ou, s’il est indiqué, dans le cadre de l’URL.
      Application Incident de sécurité
      Accessible depuis Choisissez Ce périmètre de l’application uniquement .
      Actives Lorsque cette option est cochée, cet include de script peut être sélectionné à partir de la page Définition du processus .
      Description Informations utiles sur l’include de script.
      Script Définit le script côté serveur à exécuter lorsqu’il est appelé à partir d’autres scripts.

      Le script doit définir une seule classe JavaScript ou une fonction globale. Le nom de la classe ou de la fonction doit correspondre au champ Name (Nom).

      Pour en savoir plus sur le contenu des scripts, reportez-vous à la section Include de script de définition de processus.
    4. Sélectionnez Soumettre.
    Include de script de définition de processus

    L’include de script Process Definition fournit des méthodes pour définir une définition de processus.

    Implémentez les constantes, les attributs, les tableaux et les appels de méthode décrits ici pour personnaliser un include de script de définition de processus.

    Où l’utiliser

    Utilisez cet include de script pour créer une définition de processus.

    Corps du script include
    Le corps du script include est composé de trois sections :
    • Constantes : définitions d’état initiales
    • Tâche Réponse et incident de sécurité : tableaux de définition des processus
    • Appels de méthode : récupération d’informations
    Constantes

    Les constantes sont utilisées pour définir les états initiaux des incidents de sécurité et des tâches de réponse.

    L’utilisation de constantes est facultative mais encouragée pour la lisibilité. Par exemple :
    INITIAL_INCIDENT_STATE: 10,
INITIAL_TASK_STATE: 1,

    Qui sont ensuite utilisées par les méthodes suivantes :

    
getInitialIncidentState: function() {
return this.INITIAL_INCIDENT_STATE;
},
getInitialTaskState: function() {
return this.INITIAL_TASK_STATE;
},

    L’ensemble suivant de constantes définit les états des incidents de sécurité et des tâches de réponse.

    Chaque tableau contient également la définition des états disponibles lorsque l’incident ou la tâche se trouve dans un état spécifique.

    Par exemple :
    TASK_STATES: [{state:1, label:"Draft", choice:[1, 10]},
 {state:10, label:"Ready", choice:[10, 16]},
 {state:16, label:"Assigned", choice:[16, 18]},
 {state:18, label:"Work in Progress", choice:[18, 3]},
 {state:3, label:"Close Complete", choice:[]},
 {state:7, label:"Cancelled", choice:[]},
 ],

    L’exemple est un tableau d’objets. Chaque objet définit un état et des états de transition possibles.

    L’ordre de l’objet de l’état détermine l’ordre souhaité pour le flux.

    Lorsque la tâche est à l’état « Brouillon » (valeur 1), les états possibles sont : 1 (Brouillon, ce qui n’a pas changé) et 10 (Prêt, l’étape suivante du processus).

    Il n’y a pas de limite au nombre de transitions hors d’un état. L’état « Fermé terminé » et « Annulé » sont des états finaux et n’ont donc aucune transition d’état possible.

    L’ordre des attributs dans l’objet n’a pas d’importance. Si cela rend la définition plus claire, mettez l’étiquette en premier.

    Attributs
    Les attributs requis dans un objet de définition d’état sont les suivants :
    • État : valeur numérique de l’état
    • Étiquette : texte lisible par l’homme associé à l’état
    • Choix : un tableau de valeurs d’état auxquelles l’état peut effectuer la transition (détermine le contenu de la liste déroulante d’état)
    Les attributs facultatifs sont les suivants :
    • obligatoire : liste des ID de champs qui deviennent obligatoires dans cet état
    • readonly : liste des ID de champs qui passent en lecture seule dans cet état
    • visible : liste des ID de champs qui deviennent visibles dans cet état
    • notobligatoire : liste des ID de champs qui deviennent non obligatoires dans cet état
    • notvisible : liste des ID de champs qui ne seraient plus visibles dans cet état
    Remarque :

    Si des attributs facultatifs sont utilisés, il est de la responsabilité de l’auteur de s’assurer que les champs sont rendus visibles/invisibles, obligatoires/non obligatoires, visibles/masqués ou en lecture seule de manière appropriée entre les états.

    Par exemple, masquer un champ dans un état ne le rend pas visible dans un autre état ultérieurement, sauf si l’attribut « visible » est utilisé.

    Tableaux de définitions de flux de processus

    Pour définir les informations affichées dans le formateur de flux de processus (barre en haut des formulaires de tâches Réponse et Incident de sécurité), le système a besoin d’informations sur ce qu’il faut afficher pour chaque état.

    Par exemple :
    TASK_PF: [{label:"Draft", condition:"state=1^EQ", description:"<p>Security Incident Response Task is in draft</p>"},
 {label:"Ready", condition:"state=10^EQ", description:"<p>Security Incident Response Task is ready to be assigned</p>"},
 {label:"Assigned", condition:"state=16^EQ", description:"<p>Security Incident Response Task is assigned</p>"},
 {label:"Work in Progress", condition:"state=18^EQ", description:"<p>Work has started on this Security Incident Response Task</p>"},
 {label:"Closed", condition:"state=3^ORstate=4^ORstate=7^EQ", description:"<p>Security Incident Response Task is complete</p>"},
],

    Le tableau TASK_PF est une collection d’étiquettes, de conditions et de descriptions utilisées pour déterminer le texte affiché dans la barre du formateur de processus (y compris l’ordre et l’activité).

    Dans l’exemple, le texte « Prêt » est le deuxième élément affiché. Il est mis en surbrillance lorsque la tâche satisfait la condition « state=10^EQ ».

    Lorsque le pointeur survole le texte, la description « La tâche Réponse aux incidents de sécurité est prête à être affectée » s’affiche.

    Remarque :

    Les états peuvent être combinés en un seul état de formateur.

    Dans l’exemple, les états « Fermé terminé » et « Annulé » s’affichent comme « Fermé » dans la barre supérieure.

    Appels de méthodes
    Les méthodes suivantes doivent être présentes dans l’include de script tel qu’elles sont utilisées par sn_si. Définition de processus :
    Type de retour Résumé de la méthode Description
    Chaîne getInitialIncidentState : fonction() Renvoyer la valeur numérique de l’état de l’incident initial
    Chaîne getInitialTaskState : fonction() : Renvoyer la valeur numérique de l’état de la tâche initiale
    Tableau de chaîne getIncidentStates : fonction() : Renvoyer le tableau de l’état de l’incident
    Tableau de chaîne getTaskStates : fonction() : Renvoyer le tableau de l’état de la tâche
    Tableau d’objets getIncidentProcessFlows : fonction() : Renvoyer le tableau de définition du flux de processus d’incident
    Tableau d’objets getTaskProcessFlows : fonction() : Renvoyer le tableau de définition du flux de processus de tâche

    L’ensemble de méthodes suivant est appelé chaque fois qu’un incident ou une tâche est mis à jour et permet de prendre des mesures sur des transitions de changement spécifiques.

    Type de retour Résumé de la méthode Description
    nul performIncidentStateChange : fonction (actuelle, précédente) Dans les exemples, cette méthode est utilisée pour définir les valeurs liées à SM et s’assurer qu’un incident sort de l’état « Brouillon » une fois qu’une personne lui est affectée.
    nul performTaskStateChange : fonction (actuelle, précédente) Dans l’exemple, cette méthode est utilisée pour mettre à jour les horodatages (lors de l’affectation et de la fermeture) et faire passer la tâche de « Prêt » à « Affecté » une fois le champ assigned_to renseigné.
    Les mêmes actions effectuées par ces deux méthodes peuvent être accomplies à l’aide d’une règle métier. En les définissant dans l’include de script, le changement de définitions de processus est facilité.

    Corriger un incident de sécurité ou un état de tâche non valide avec la définition de processus

    Un administrateur peut corriger l’incident ou la tâche de sécurité pour rétablir des états valides, manuellement ou à l’aide d’un script. Les états disponibles varient en fonction de l’état actuel de l’incident.

    Avant de commencer
    Rôle requis : admin
    Pourquoi et quand exécuter cette tâche
    Une fois que vous avez changé les définitions de processus, il est possible que la nouvelle définition ne prenne plus en charge certains des anciens états. Pour corriger l’état de l’incident orphelin ou de la tâche, vous pouvez changer votre définition de processus, modifier votre include de script ou ouvrir manuellement chaque incident ou tâche pour mettre à jour l’état. Généralement, la mise à jour de l’état (qui peut être effectuée en bloc) est la solution la plus simple.

    Pour changer les états en bloc, procédez comme suit :

    Procédure
    1. Accédez à la Tous > Incident de sécurité > Administration > Sélection du processus.
    2. Mettez en surbrillance le champ État pour les incidents ou les tâches que vous souhaitez modifier.
    3. Double-cliquez sur le champ État dans le premier enregistrement, sélectionnez le nouvel état, puis sélectionnez la coche verte ( coche verte) pour terminer la modification.
      Exemple de définition corrigée
    4. Sélectionnez Mettre à jour.

    Créer un groupe d’incidents de sécurité

    Configurez un groupe d’incidents de sécurité et affectez-lui les rôles et les utilisateurs appropriés.

    Avant de commencer

    Rôles requis :
    • Si vous disposez du rôle user_admin, vous pouvez créer des groupes d’affectation d’incident de sécurité.
    • Si vous disposez du rôle sn_si.admin, vous pouvez créer et modifier des groupes d’affectation d’incident de sécurité.

    Pourquoi et quand exécuter cette tâche

    Les utilisateurs d’un groupe héritent les rôles du groupe. Il n’est donc pas nécessaire d’affecter des rôles à chaque utilisateur séparément.

    Il est recommandé de créer autant de groupes que nécessaire dans votre organisation. Il est également recommandé de créer un groupe pour les administrateurs et de n’affecter le rôle administrateur qu’à ce groupe.

    Procédure

    1. Accédez à la Tous > Administration utilisateurs > Groupes ou Incident de sécurité > Configuration > Groupes.
    2. Sélectionnez Nouveau.
    3. Remplissez les champs du formulaire.
      Remarque :

      Pour plus d’informations, voir Créer un groupe d’utilisateurs.

    4. Veillez à sélectionner le type d’incident de sécurité pour ce groupe.
      1. Si le champ Type n’est pas visible, configurez le formulaire pour l’ajouter.
      2. Sélectionnez l’icône de verrou en regard du champ Type .
      3. Sélectionner l’icône de recherche de référence ( icône de recherche)
      4. Recherchez et sélectionnez le type d’incident de sécurité .
    5. Sélectionnez et maintenez enfoncé (ou cliquez avec le bouton droit de la souris) l'en-tête du formulaire, puis sélectionnez Enregistrer.
    6. Dans la liste connexe Rôles , ajoutez les rôles que chaque membre de ce groupe reçoit.
      Par exemple, si vous créez un groupe pour Réponse aux incidents de sécurité les membres de l’équipe, ajoutez sn_si.analyst. Si vous créez un groupe pour Réponse aux incidents de sécurité les administrateurs, ajoutez sn_si.admin.
    7. Dans la liste connexe Membres du groupe , ajoutez des utilisateurs à ce groupe.
    8. Sélectionnez Mettre à jour.

    Créer un groupe de calculateurs d’incident de sécurité

    Les groupes de calculateurs d’incident de sécurité sont utilisés pour regrouper les calculateurs.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Configuration > Groupes de calculateurs d'incidents de sécurité.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom Le nom du calculateur d’incident de sécurité.
      Application L’application qui contient cet enregistrement.
      Ordre Ordre dans lequel le calculateur d’incident de sécurité est exécuté. Une calculatrice avec une entrée d’ordre de 100 s’exécute avant une calculatrice avec une entrée d’ordre de 200.
      Description Description de ce groupe de calculateurs.
      Créé par Entrez le nom de l’utilisateur qui a créé
    4. Cliquez sur Envoyer.

    Créer un calculateur d’incident de sécurité

    Les calculateurs d’incident de sécurité vous permettent de calculer la gravité d’un incident de sécurité en fonction de formules prédéfinies. Vous pouvez définir vos propres calculateurs d’incident de sécurité, selon vos besoins.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Configuration > Groupes de calculateurs d'incidents de sécurité.
    2. Cliquez sur le nom du groupe pour lequel vous souhaitez créer une calculatrice, ou vous pouvez créer un groupe de calculatrices.
    3. Cliquez sur Nouveau.
    4. Renseignez les champs du formulaire comme il convient.
      Champ Description
      Nom Le nom du calculateur d’incident de sécurité.
      Groupe de calculateurs Nom du groupe auquel ce calculateur appartient.
      Remarque :
      La création ou la modification du groupe de calculateurs devient disponible une fois que vous avez saisi un nom et une table.
      Table

      Sélectionnez la table à utiliser pour ce calculateur.

      Lorsque vous ajoutez des calculateurs à des tables autres que Vulnérabilité [sn_vul_vulnerability] et Élément vulnérable [sn_vul_vulnerable_item], vous devez ajouter des règles métier et des actions d’interface utilisateur à ces tables. Pour voir des exemples :
      • Accédez à la Définition du système > Règles métieret localisez la règle métier Calculer la gravité dans la table Vulnerable Item (Élément vulnérable) [sn_vul_vulnerable_item].
      • Accédez à la Interface utilisateur du système > Actions d'interface utilisateuret localisez l’action d’interface utilisateur Calculer la gravité dans la table Vulnerable Item (Élément vulnérable) [sn_vul_vulnerable_item].

      En outre, le rôle d’administrateur de vulnérabilité doit disposer des capacités complètes de lecture, d’écriture (ou de save_as_template) sur n’importe quelle table utilisée par une calculatrice pour voir correctement les valeurs à appliquer au modèle.
      Application Application incluse dans le périmètre à laquelle le calculateur appartient.
      Ordre Ordre dans lequel le calculateur d’incident de sécurité s’exécute. Une calculatrice avec une entrée d’ordre de 100 s’exécute avant une calculatrice avec une entrée d’ordre de 200.
      Actives Allumez ou désactivez la calculatrice.
      Description Description de ce calculateur.
    5. Cliquez avec le bouton droit sur l’en-tête du formulaire, puis sélectionnez Enregistrer.
      Les onglets Conditions et Valeurs à appliquer s’affichent .
    6. Renseignez les champs de l’onglet Conditions comme il convient.
      Champ Description
      Utiliser un groupe de filtres Cochez cette case pour utiliser un groupe de filtres prédéfini ou créez un nouveau groupe de filtres pour définir les critères du calculateur.
      Groupe de filtres Sélectionnez le groupe de filtres à utiliser pour définir un calculateur.

      Ce champ s’affiche uniquement si vous avez coché la case Utiliser des groupes de filtres .
      Utiliser une condition avancée Cochez cette case pour indiquer qu’une condition de script est utilisée pour déterminer quand ce calculateur est appliqué. Lorsque vous cochez la case, un champ de scripting de condition avancée s’affiche.

      Si vous avez coché la case Utiliser un groupe de filtres , ce champ est masqué.

      Remarque :
      Avant de définir des conditions avancées et d’écrire des scripts pour déterminer quand les calculateurs d’incident de sécurité sont appliqués, revenez à la liste des calculateurs d’incident de sécurité. Explorez les enregistrements de calculateur fournis avec le système de base.
      Condition Définit les conditions de filtre de base permettant de déterminer si le calculateur est utilisé.

      Si vous avez coché l’une des cases Utiliser un groupe de filtres ou Utiliser des conditions avancées , ce champ est masqué.
    7. Cliquez sur l’onglet Valeurs à appliquer et renseignez les champs du formulaire comme il convient.
      Vous avez le choix de créer un script pour définir les valeurs à appliquer au calcul ou de définir un modèle basé sur les champs de la table sélectionnée.
      Champ Description
      Utiliser des valeurs de script Cochez cette case pour définir des valeurs de champ avec un script.
      Valeurs de script Définit les valeurs auxquelles appliquer les calculs.

      Ce champ s’affiche uniquement si vous avez coché la case Utiliser les valeurs de script .
      Modèle Cliquez avec le bouton droit sur l’en-tête du formulaire, puis sélectionnez Enregistrer. Sélectionnez les champs et les valeurs que vous souhaitez utiliser pour le calculateur.
    8. Lorsque vous avez terminé toutes les entrées, cliquez sur Envoyer.

    Présentation des calculateurs d’incidents de sécurité

    Les calculateurs d’incident de sécurité sont utilisés pour mettre à jour les valeurs d’enregistrement lorsque les conditions prédéfinies sont remplies. Les calculateurs sont regroupés en fonction des critères utilisés pour déterminer comment les enregistrements sont mis à jour.

    Le Réponse aux incidents de sécurité système de base comprend les groupes de calculateurs d’incident de sécurité et les calculateurs suivants. Au sein de chaque groupe, c'est le premier calculateur qui correspond aux conditions qui est exécuté.

    Tableau 5. Calculateurs d’incidents de sécurité dans le système de base
    Nom du groupe de calculateurs d’incidents de sécurité Calculatrices incluses dans le groupe Description
    Impact sur l'entreprise Regrouper à partir des calculateurs de gravité Ce calculateur délègue au calculateur de criticité de sécurité qui détermine la criticité en pondérant les valeurs d’autres champs.
    Gravité Impact sur l'entreprise Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions simple.
    Service critique affecté Ce calculateur de gravité définit ses critères de sélection à l’aide d’une condition avancée.

    Si l’élément de configuration de l’incident de sécurité est associé à un service d’entreprise hautement critique, les champs Score de risque, Impact sur l’entreprise et Priorité sont élevés comme défini par le calculateur.
    Changements de services critiques Ce calculateur de gravité définit ses critères de sélection à l’aide d’une condition avancée.

    Si l’incident de sécurité remplit les conditions, un script s’exécute pour définir le niveau auquel les champs sont élevés. Si l’élément de configuration de l’incident de sécurité est associé à un service d’entreprise très critique ou relativement critique, les champs Score de risque, Impact sur l’entreprise et Priorité sont élevés comme défini par le calculateur.
    Vecteurs d’attaques multiples Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions simple.

    Si l’élément de configuration de l’incident de sécurité est associé à des vecteurs d’attaque sur le Web, par e-mail et par emprunt d’identité, les champs Score de risque, Impact sur l’entreprise et Priorité sont élevés comme défini par le calculateur.
    Définir la priorité avec la catégorie et les services Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions avancé.
    La priorité de l’incident de sécurité est définie sur 1 - Critique lorsque les conditions suivantes sont remplies :
    • L’incident de sécurité a associé des services affectés et l’un d’eux est critique.
    • La catégorie d’incident de sécurité est l’une des suivantes :
      • Déni de service
      • Harponnage
      • Activité du code malveillant
    Remarque :
    Ce calculateur est disponible dans le système de base lorsque vous disposez du niveau tarifaire Opération de sécurité de démarrage.
    Définir la priorité avec les observables Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions avancé.
    La priorité de l’incident de sécurité est définie sur1 - Critique lorsque les conditions suivantes sont remplies :
    • L’incident de sécurité a associé des services affectés et l’un d’eux est critique.
    • La catégorie d’incident de sécurité est l’une des suivantes :
      • Déni de service
      • Harponnage
      • Activité du code malveillant
    • L’un des observables ou indicateurs associés a un nombre de perceptions qui dépasse deux perceptions avec des indicateurs actifs (c’est-à-dire que les observables ou les indicateurs sont confirmés comme étant mauvais à partir de plusieurs sources).
    Remarque :
    Ce calculateur est disponible dans le système de base lorsque vous disposez du niveau tarifaire Opération de sécurité avancée et que vous activez le module d’extension Flux de menaces.
    Criticité de l'utilisateur Obtenir la criticité de l'utilisateur Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions simple.

    Ce calculateur de gravité entraîne le passage de la criticité opérationnelle de l’utilisateur à 1 - Critique lorsque le champ Département est changé en Finances.
    Obtenir la criticité du groupe d'utilisateurs Ce calculateur de gravité définit ses critères de sélection à l’aide d’un générateur de conditions avancé.

    Ce calculateur de gravité fournit un exemple de calculateur qui s’exécute sur les données d’une liste connexe.

    Calculateurs de gravité

    Lorsque vous créez un incident de sécurité, les champs Score de risque, Impact sur l’entreprise et Priorité contiennent des valeurs par défaut. Lorsque vous enregistrez l’incident, une règle métier valide automatiquement les informations contenues dans l’incident de sécurité par rapport aux conditions définies dans chacun de vos calculateurs de gravité actifs. Ils sont validés un calculateur de sécurité à la fois, dans l’ordre défini par le champ Ordre de chaque calculateur. Si les informations contenues dans l’incident de sécurité correspondent aux conditions définies dans l’un des calculateurs, les valeurs des champs de gravité sont mises à jour en fonction des règles définies dans le calculateur.

    Par exemple, supposons que vous créez un incident de sécurité pour un CI affecté et que le CI est hautement critique. Lorsque l’incident de sécurité est enregistré, les informations de CI sont comparées aux conditions définies dans les calculateurs de gravité. Lorsque l’incident de sécurité est validé par rapport au calculateur de gravité affecté par le service critique , les champs de gravité sont automatiquement mis à jour et un message apparaît en haut de l’incident de sécurité.

    Vous pouvez utiliser ces calculateurs de gravité tels quels ou les modifier pour mieux répondre aux besoins de votre entreprise. Par exemple, si vous souhaitez identifier les menaces Web et de messagerie spécifiques à l’unité business Finance, vous pouvez modifier les conditions du calculateur de vecteurs d’attaques multiples :
    • [Vecteur d’attaque] [contient] [Sur le Web]
    • [Vecteur d’attaque] [contient] [E-mail]
    • [Unité business] [contient] [Finances]

    Vous pouvez également mettre à jour les valeurs de gravité d’un incident de sécurité existant à tout moment en ouvrant l’enregistrement et en cliquant sur le lien connexe Calculer la gravité .

    Calculateurs de score de risque d’incident de sécurité

    Les calculateurs Définir la priorité avec la catégorie et les services et Définir la priorité avec les observables sont utilisés pour calculer un score de risque pour un incident de sécurité.

    Calculateurs de criticité de l’utilisateur

    Les deux calculateurs du groupe de criticité de l’utilisateur (Obtenir la criticité de l’utilisateur et Obtenir la criticité du groupe d’utilisateurs) fournissent des exemples de la façon dont vous pouvez gérer la criticité en fonction des critères définis dans un enregistrement utilisateur ou en fonction du groupe auquel un utilisateur appartient.

    Ils peuvent être modifiés si nécessaire, ou de nouveaux calculateurs de criticité utilisateur peuvent être créés.

    Le calculateur Obtenir la criticité de l’utilisateur fait passer la criticité opérationnelle de l’utilisateur à 1 - Critique lorsque le champ Département est changé en Finances.

    Le calculateur Obtenir la criticité des groupes d’utilisateurs fait passer la criticité opérationnelle de l’utilisateur à 1 - Critique lorsque l’utilisateur est ajouté au groupe de base de données .
    Remarque :
    Obtenir la criticité du groupe d’utilisateurs est un exemple de calculateur qui s’exécute sur les données d’une liste connexe. Si vous souhaitez ajouter d’autres groupes pour initier un changement de criticité, ajoutez une liste de sys_ids de groupe séparés par des virgules à la première ligne du script. Exemple : var CRITICAL_GROUPS = [group1_sys_id, group2_sys_id, group3_sys_id].

    Calculs des scores de risque d’incidents de sécurité

    Le score de risque est calculé comme une moyenne arithmétique qui représente le risque en fonction de la priorité d’un incident de sécurité, du type d’incident de sécurité (déni de service, harponnage ou activité de code malveillant) et du nombre de sources qui ont déclenché un score de réputation échoué sur un indicateur.

    Le score des risques aide à hiérarchiser le travail d’incident de sécurité pour les analystes.
    Important :
    Si vous souhaitez utiliser le nouveau calculateur de score de risque, reportez-vous à .Définir les nouvelles règles du calculateur de score de risque
    Les calculateurs d’incidents de sécuritéDéfinir la priorité avec la catégorie et les services et Définir la priorité avec des observables sont utilisés pour calculer un score de risque pour un incident de sécurité. En outre, les règles métier suivantes déclenchent le calcul automatique des scores des risques :
    • Calculer la gravité
    • Mettre à jour le score des risques
    • Mettre à jour le score de risque SI
    Remarque :
    Le calculateur de risque disponible dans le système de base dépend de votre niveau tarifaire Security Operations.
    Lorsque vous consultez une liste d’incidents de sécurité dans le système de base, notez la colonne Score de risque .
    Figure 1. Incidents de sécurité
    Incidents de sécurité et scores des risques
    Le score de risque est calculé à l’aide de poids définis dans la configuration du score de risque.
    Figure 2. Configuration de score du risque
    Poids de score des risques

    Par exemple, si un incident de sécurité a un impact sur l’activité défini sur 2-Élevé et une priorité définie sur 3-Modéré, les poids respectifs dans la table des pondérations des scores de risque sont recherchés et calculés comme suit :

    Impact opérationnel de l’incident de sécurité avec une valeur de 2 = une pondération de 60.

    Priorité de l’incident de sécurité avec une valeur de 3 = un poids de 40.

    (60 + 40)/2 = un score de risque de 50.

    La position de l’incident de sécurité dans la liste des incidents de sécurité est ensuite réorganisée en fonction de son score de risque mis à jour.

    Si, dans l’exemple ci-dessus, l’impact sur l’activité ou la priorité de l’incident de sécurité sont modifiés, le score de risque est recalculé et les changements sont reflétés dans les notes de travail.
    Figure 3. Notes de travail
    Notes de travail après le calcul du score de risque
    Les notes de travail sont mises à jour lorsque les champs suivants sont modifiés (entraînant la mise à jour du score de risque) :
    • Impact sur l’activité sur le formulaire d’incident de sécurité
    • Priorité sur le formulaire d’incident de sécurité
    • Gravité sur le formulaire d’incident de sécurité (masquée par défaut)
    • Impact sur l’activité sur la liste connexe Utilisateurs affectés
    • Impact sur l’entreprise sur la liste connexe Services affectés
    • Impact sur l’activité des vulnérabilités de la liste connexe des éléments vulnérables
    En outre, les notes de travail sont mises à jour dans les situations suivantes :
    • Lorsqu’une association entre des utilisateurs affectés et un incident de sécurité est créée ou modifiée
    • Lorsqu’une association entre les services affectés et un incident de sécurité est créée ou modifiée
    • Lorsqu’une association entre des éléments vulnérables et un incident de sécurité est créée ou modifiée

    Les notes de travail sont également mises à jour chaque fois que l’utilisateur clique sur Mettre à jour tous les scores des risques et Effacer tous les scores des risques sur le formulaire de pondération des scores des risques .

    Maintenir les pondérations des scores de risques

    Les poids de score de risque utilisés pour calculer les scores de risque dans les incidents de sécurité peuvent être supprimés ou mis à jour individuellement. Ils peuvent également être supprimés ou mis à jour pour tous les incidents de sécurité. La possibilité de les supprimer des incidents de sécurité est utile lors du changement des valeurs de poids.

    Avant de commencer
    Rôle requis : sn_sec_cmn.admin
    Remarque :
    Les utilisateurs disposant du rôle sn_si.read peuvent afficher la configuration du score de risque dans Réponse aux incidents de sécurité.
    Procédure
    1. Accédez à la Tous > Incident de sécurité > Configuration > Configuration du score du risque.
      Remarque :
      Les utilisateurs disposant du rôle sn_si.read peuvent afficher la configuration du score de risque en accédant à Incident de sécurité > Alertes et événements > Configuration du score des risques.
    2. Pour ajouter un nouveau poids de score de risque, cliquez sur Nouveau et saisissez les informations dans les champs.
      Champ Description
      Type Sélectionnez le type de score de risque que vous définissez.
      Valeur Spécifiez la valeur associée au type sélectionné. Si plusieurs valeurs sont disponibles pour le type, vous pouvez définir plusieurs enregistrements de pondération de score de risque. Exemple : Priorité de l’incident de sécurité avec une valeur de 1, Priorité de l’incident de sécurité avec une valeur de 2, et ainsi de suite.
      Poids Poids associé à la paire type/valeur sélectionnée. Les entrées valides sont comprises entre 0 et 100, 0 étant le poids le plus bas et 100 le plus élevé.
    3. Cliquez sur Envoyer.
    4. Effectuez l’une de ces étapes, selon les besoins.
      • Pour effacer un enregistrement de pondération de score de risque, ouvrez-le dans la liste et cliquez sur Supprimer.
      • Pour effacer tous les enregistrements de poids de score de risque, cliquez sur Effacer tous les scores de risque.
      • Pour mettre à jour tous les enregistrements de pondération de score de risque, cliquez sur Mettre à jour tous les scores de risque.

    Créer un Réponse aux incidents de sécurité SLA

    Vous pouvez définir un accord sur les niveaux de service (SLA) pour Réponse aux incidents de sécurité.

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Configuration > SLA.
    2. Cliquez sur Nouveau.
      Pour obtenir une description des champs et des instructions détaillées, reportez-vous à la section Create an SLA definition.

    Réparer les SLA d’incidents de sécurité

    Vous pouvez réparer les enregistrements SLA pour vous assurer que les informations de calendrier et de durée des SLA sont exactes.

    Avant de commencer

    Rôle requis : sn_si.basic

    Procédure

    1. S’il n’est pas déjà ouvert, ouvrez l’incident de sécurité pour lequel vous souhaitez réparer des SLA.
    2. Sélectionnez le menu contextuel de l’en-tête du formulaire, puis sélectionnez Réparer les SLA :
    3. Sélectionnez OK dans la zone de confirmation d’avertissement.
      Pour plus d’informations, consultez Réparer les SLA.

    Créer un Runbook de réponse aux incidents de sécurité

    Un guide d’exploitation est une association entre un article de la base de connaissances publié et une tâche spécifique. Pendant que vous effectuez la tâche, un article de la base de connaissances dans le runbook s’ouvre automatiquement, fournissant des informations pertinentes pour la tâche.

    Avant de commencer

    Il doit y avoir des articles de la base de connaissances existants dans la base de Réponse aux incidents de sécurité connaissances Runbook. Lorsque vous créez un article de la base de connaissances sur les incidents de sécurité, veillez à sélectionner Runbook de réponse aux incidents de sécurité dans le champ Base de connaissances . Après avoir publié l’article, vous pouvez sélectionner le bouton Create Runbook (Créer un runbook ).

    Rôle requis : sn_si.knowledge_admin

    Pourquoi et quand exécuter cette tâche

    Vous pouvez utiliser des runbooks pendant les processus de création d’incidents de sécurité ou de tâches de réponse, ou vous pouvez associer les articles de la base de connaissances d’un runbook aux tâches du playbook.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Runbook manuel > Créer un nouveau Runbook.
    2. Renseignez les champs comme il convient.
      Champ Description
      Article de la base de connaissances Sélectionnez un article de la base de connaissances à inclure dans le runbook.
      Actives Cochez la case pour rendre le runbook disponible dans le navigateur de filtre.
      Utiliser un groupe de filtres Cochez cette case pour utiliser un groupe de filtres prédéfini ou créez un nouveau groupe de filtres pour définir les critères du runbook.
      Groupe de filtres Sélectionnez le groupe de filtres à utiliser pour définir un runbook.

      Ce champ s’affiche uniquement si la case Utiliser des groupes de filtres est cochée.
      Table Sélectionnez Incident de sécurité [sn_si_incident] ou Réponse aux incidents de sécurité Tâche [sn_si_task].

      Si vous avez coché la case Utiliser un groupe de filtres et sélectionné un groupe de filtres, ce champ est par défaut la table associée au groupe de filtres sélectionné.
      Condition Définissez les conditions qui connectent ce Runbook à l’incident ou à la tâche.

      Si vous avez coché la case Utiliser un groupe de filtres et sélectionné un groupe de filtres, les champs Condition ne s’affichent pas.
    3. Cliquez avec le bouton droit sur l’en-tête du formulaire, puis sélectionnez Enregistrer.
      L’onglet Détails de l’article de la base de connaissances et une série de boutons s’affichent.
    4. Pour afficher les détails du runbook, cliquez sur l’onglet Détails de la base de connaissances .
    5. Pour afficher l’article de la base de connaissances tel qu’il apparaît à l’utilisateur, cliquez sur Afficher l’article.
    6. À Pour modifier les détails de l’article de la base de connaissances, cliquez sur Modifier l’article.

    Créer des règles pour valider les attaques par hameçonnage signalées par les utilisateurs

    Lorsque vos employés reçoivent des e-mails qui semblent être des attaques de phishing, ils peuvent vous les signaler à l’aide d’une adresse e-mail de phishing. L’e-mail suspect est validé à l’aide de règles définies par votre organisation.

    Avant de commencer

    Avant de pouvoir utiliser les règles de correspondance des e-mails pour identifier les attaques d’hameçonnage potentielles, définissez une adresse e-mail vers laquelle les e-mails transférés par vos employés seront envoyés pour traitement. Vous disposez des options suivantes pour définir cette adresse e-mail (en supposant que le domaine de messagerie de votre entreprise est acme.com) :
    • Définissez une adresse e-mail telle que acme+phishing@service-now.com. La balise +phishing est prise en charge par SMTP pour activer le filtrage et votre instance peut recevoir les e-mails qui lui sont envoyés.
    • Définissez une adresse e-mail, telle que phishing@acme.com (votre boîte aux lettres Exchange), qui à son tour la transfère à acme+phishing@service-now.com (votre boîte aux lettres d’instance définie par une règle de transfert de courrier).

    Rôle requis : sn_sec_cmn.write

    Pourquoi et quand exécuter cette tâche

    Lorsqu’un employé rencontre un e-mail suspect, il doit le transférer en pièce jointe à votre adresse e-mail d’hameçonnage. Si l’e-mail en pièce jointe correspond à une règle définissant une menace, un incident de sécurité est créé.

    Procédure

    1. Accédez à la Tous > Opérations de sécurité > Traitement des e-mails > Hameçonnage signalé par un utilisateur.
    2. Sélectionnez Nouveau.
    3. Renseignez les champs selon vos besoins.
      Tableau 6. Formulaire Règles de correspondance des e-mails
      Champ Description
      Nom Nom de cette règle de correspondance des e-mails. Par exemple, hameçonnage signalé par l’utilisateur.
      Conditions Utiliser le Créateur de conditions permettant de valider si un e-mail envoyé à l’adresse e-mail d’hameçonnage de votre entreprise est une attaque d’hameçonnage. Consultez l'exemple suivant.
    4. Sélectionnez Envoyer.

    Exemple

    Cet exemple montre une règle de correspondance pour le traitement du hameçonnage signalé par les utilisateurs.
    Figure 4. Exemple de règle de correspondance d’e-mail
    Règle de correspondance des e-mails