Modèle de workflow de reconnaissance des incidents de sécurité

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • La reconnaissance est généralement une étape préliminaire à une nouvelle attaque visant à exploiter un appareil ou un système. L’incident de sécurité - Reconnaissance - Modèle vous permet d’effectuer une série de tâches conçues pour gérer la reconnaissance sur votre réseau.

    Avant de commencer

    Rôle requis : sn_si.write

    Pourquoi et quand exécuter cette tâche

    Le workflow est déclenché lorsque la catégorie d’un incident de sécurité est définie sur Activité de reconnaissance. Cette action entraîne la création d’une tâche de réponse pour la première activité du workflow.

    Figure 1. Activité de reconnaissance
    Modèle de workflow de reconnaissance

    Procédure

    1. Ouvrez l’incident de sécurité pour cette attaque potentielle ou créez un nouvel incident de sécurité.
    2. Dans Catégorie, sélectionnez Activité de reconnaissance.
    3. Enregistrez l'enregistrement.
    4. Faites défiler vers le bas et ouvrez la liste connexe Tâches de réponse .
      La première d’une série de tâches de réponse apparaît. Chaque fois que l’enregistrement est enregistré, votre réponse à la tâche précédente entraîne la création de la tâche de réponse suivante ou l’arrêt du workflow.
      Tableau 1. Tâches de réponse dans le modèle de reconnaissance
      Tâche de réponse Action Résultats
      Activité de reconnaissance vérifiée ? Déterminez si une reconnaissance observée a été vérifiée.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Identifier les systèmes impactés est exécutée.

      Si vous sélectionnez Non, le flux s’arrête.
      Identifier les systèmes impactés Déterminez les systèmes impactés par la reconnaissance. Lorsque cette tâche est terminée, la tâche Autoriser la reconnaissance pour l’analyse répressive ? est exécutée.
      Autoriser la reconnaissance pour l’analyse des forces de l’ordre ? Déterminez si vous souhaitez que la reconnaissance soit analysée par les forces de l’ordre.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche de processus d’application de la loi est exécutée.

      Si vous sélectionnez Non, la tâche Mettre à jour le(s) système(s) pour empêcher la reconnaissance est exécutée.
      Processus d’application de la loi Exécutez le processus d’application de la loi tel que défini par votre entreprise. Lorsque cette tâche est terminée, la tâche Mettre à jour le(s) système(s) pour empêcher la reconnaissance est exécutée.
      Mettre à jour le(s) système(s) pour empêcher la reconnaissance Effectuez les étapes nécessaires pour mettre à jour les systèmes affectés par la reconnaissance. Lorsque cette tâche est terminée, la tâche Définir l’état sur Révision est exécutée.
      Définir l’état sur Revue Aucune action n'est requise. L’état de l’incident de sécurité passe automatiquement à Révision, et la tâche de réunion des enseignements tirés est exécutée.
      Réunion sur les enseignements tirés Organiser une réunion sur les enseignements tirés afin de trier le travail effectué pour cet incident de reconnaissance.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Lorsque cette tâche est terminée, le flux s’arrête.