Gérer les menaces de sécurité à l’aide de Security Analyst Workspace

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 6 minutes de lecture

    • Réponse aux incidents de sécurité inclut une nouvelle interface utilisateur appelée Le qui propose de puissants outilsd’aide Security Analyst Workspace à l’analyse, notamment le playbook, la vue d’aperçu et les onglets permettant de travailler sur plusieurs incidents de sécurité.

    Spécialement conçus pour les analystes de sécurité, les puissants outils de la Security Analyst Workspace vous permettent d’analyser le volume toujours croissant de données associées aux incidents de sécurité. De plus, les actions automatisées réduisent considérablement le temps d’enquête sur les incidents de sécurité, ce qui peut faire la différence entre l’arrêt d’une attaque et une violation.

    Avant d’utiliser le Security Analyst Workspace

    Avant de pouvoir commencer à utiliser le Security Analyst Workspace, vous devez vous assurer qu’au moins London Patch 3 est installé sur votre instance, que vous avez défini les rôles corrects et que vous avez a téléchargé l’application d’interface utilisateur Réponse aux incidents de sécurité à partir de ServiceNow Store.
    Remarque :
    Si votre instance exécute une version antérieure à London Patch 3, vous devez demander le module d’extension d’interface utilisateur Réponse aux incidents de sécurité via le système HI Customer Service.

    Accéder à Security Analyst Workspace

    Pour accéder à ce nouvel espace de travail, accédez à Incident de sécurité > Incidents (nouvelle interface utilisateur).

    L’espace de travail s’ouvre dans un onglet de navigateur distinct.

    Localisez les incidents de sécurité que vous souhaitez analyser à l’aide de filtres rapides

    Plusieurs Security Analyst Workspace outils permettant de filtrer la liste des incidents de sécurité afin que vous puissiez trouver rapidement ceux que vous souhaitez analyser. Les filtres rapides vous permettent de sélectionner un sous-ensemble d’incidents de sécurité en fonction des critères du filtre.

    Cliquez simplement sur le filtre rapide que vous souhaitez utiliser.

    Remarque :
    Vous pouvez cliquer sur un bouton Modifier pour identifier les filtres rapides que vous souhaitez afficher sur l’écran de liste. Un minimum d’un filtre doit être sélectionné, jusqu’à un maximum de six.

    Vous pouvez définir des filtres rapides supplémentaires, ainsi que des filtres primaires pour le Security Analyst Workspace, à l’aide de l’environnement classique. Pour plus d'informations, consultez Définissez des filtres primaires et secondaires pour Security Analyst Workspace.

    Personnaliser la liste des incidents de sécurité

    Comme pour toutes les listes de votre instance, fournit Security Analyst Workspace des outils permettant de personnaliser la liste et de trier les informations affichées pour répondre à vos besoins d’analyse.

    Gagnez du temps avec la vue d’aperçu

    Avant d’ouvrir un enregistrement d’incident de sécurité, vous pouvez gagner du temps grâce à la vue Aperçu. Cette fonctionnalité vous permet de localiser rapidement les artefacts de sécurité vitaux sans avoir à recharger la page entière. Il vous suffit de cliquer sur l’icône > à gauche d’un numéro d’incident de sécurité pour en jeter un aperçu.

    La vue d’aperçu fournit un instantané des informations vitales en une seule vue. Cette vue peut vous faire gagner un temps précieux lorsque vous travaillez sur plusieurs incidents. Vous pouvez cliquer sur les flèches vers le bas de certains champs pour effectuer des mises à jour à la volée, telles que l’affectation d’un groupe d’affectation ou d’un analyste spécifique.

    Effectuer des actions rapides sur un incident de sécurité

    Une fois que vous avez sélectionné et ouvert un incident de sécurité spécifique, vous pouvez effectuer des actions de gain de temps dans l’enregistrement.
    • Si votre incident de sécurité est ouvert, cliquez sur l’icône Modifier l’enregistrement pour apporter des modifications rapides à l’un de ses champs. Si l’enregistrement est fermé, vous ne pouvez modifier que sa balise.
    • Cliquez sur Gérer les pièces jointes pour joindre des fichiers à l’incident de sécurité. Vous pouvez également télécharger ou supprimer des fichiers joints et modifier le chiffrement appliqué aux pièces jointes.
    • Cliquez sur Composer un e-mail pour envoyer un e-mail rapide à un collègue. Les e-mails peuvent être de forme libre ou vous pouvez envoyer des e-mails prédéfinis sélectionnés dans une liste de modèles. Les e-mails envoyés et les réponses reçues sont capturés dans la chronologie des incidents.
      Remarque :
      Vous pouvez créer des modèles personnalisés contenant du contenu réutilisable pour les e-mails et les notifications par e-mail. Les variables peuvent être utilisées pour insérer des informations spécifiques à l’incident de sécurité ou à l’alerte, telles que la ligne d’objet, la priorité ou la catégorie de menace. Utilisez la table Incident de sécurité [sn_si_incident] pour les e-mails et les notifications par e-mail relatifs à Réponse aux incidents de sécurité. Pour plus d’informations, voir Modèles d’e-mail
    • Cliquez sur Plus pour afficher un instantané rapide de l’incident de sécurité, notamment sa description, son impact sur l’entreprise et sa priorité. Vous pouvez également cliquer sur la flèche vers le bas dans les champs Assignment group (Groupe d’affectation ) et Assigned to (Affecté à ) pour apporter des modifications à ces champs.

    Travailler avec plusieurs incidents de sécurité

    L’interface à onglets vous permet de conserver plusieurs incidents de sécurité ouverts simultanément afin de pouvoir passer de l’un à l’autre en un seul clic. Cela peut vous faire gagner du temps et vous permettre d’avoir une vue d’ensemble lorsque des menaces provenant de plusieurs sources sont identifiées.

    Afficher les informations d’analyse dans les onglets des incidents de sécurité

    Lorsque vous ouvrez un enregistrement d’incident de sécurité, trois onglets s’affichent :
    • Vue d'ensemble
    • Explorer
    • Chronologie de l’incident

    Onglet Vue d'ensemble

    Utilisez l’onglet Vue d’ensemble pour afficher les informations d’un incident de sécurité dans un seul emplacement. Pas besoin d’ouvrir une autre application ou console.

    Les tuiles affichées dans l’onglet Vue d’ensemble sont personnalisables. Vous pouvez les réduire et les développer selon vos besoins, et vous pouvez les déplacer en faisant glisser l’icône Poignée . Cliquez sur l’icône Autres options pour supprimer une tuile ou modifier son texte d’en-tête.

    Onglet Explorer

    Configurez les tuiles affichées dans l’onglet Vue d’ensemble à l’aide de l’onglet Explorer . Sélectionnez simplement les tuiles que vous souhaitez afficher dans le volet de gauche, puis cliquez sur l’icône Épingler . Les tuiles épinglées apparaissent automatiquement dans l’onglet Vue d’ensemble .

    Le volet gauche de l’onglet Explorer comprend un grand nombre d’informations que vous pouvez afficher dans l’onglet Vue d’ensemble . Par exemple, développez Observables pour afficher ces listes connexes.
    • Observables
    • Résultats de la recherche de menace
    • Résultats de l’analyse de sécurité
    • Recherches de domaine
    • Enrichissement des éléments observables

    Des listes connexes supplémentaires sont disponibles sous Utilisateurs, Éléments de configuration et Incidents.

    Onglet Chronologie des incidents

    Utilisez l’onglet Chronologie des incidents pendant votre enquête à des fins de suivi. Chaque fois qu’une action est effectuée sur un incident de sécurité, le système l’enregistre dans la chronologie des incidents.
    • Vous pouvez également ajouter manuellement des notes de travail à la chronologie en les saisissant dans la zone Ajouter des notes de travail et en cliquant sur Publier.
    • Vous pouvez rechercher une activité de chronologie spécifique à l’aide de la zone de recherche.
    • L’icône Filtrer l’activité vous permet d’afficher uniquement les types d’activités de chronologie que vous souhaitez afficher (par exemple, uniquement les incidents créés par un analyste spécifique).
    • Vous pouvez ajouter ou supprimer la chronologie des incidents à partir de l’onglet Vue d’ensemble à l’aide de l’icône Épingler/désépingler .

    Gérer les incidents de sécurité à l’aide du playbook

    Résolvez certains types de menaces de sécurité étape par étape à l’aide des playbooks d’analyste de sécurité intégrés. Par exemple, un analyste peut utiliser le playbook pour résoudre les attaques d’hameçonnage et les menaces causées par des activités de code malveillant. Pour plus d'informations, consultez Résoudre les menaces de sécurité avec le playbook.