Créer à partir de la liste des incidents de sécurité

Gestion de la sécurité Australie

Release

australia

ft:locale

fr-FR

ft:publication_title

Gestion de la sécurité Australie

ft:clusterId

security

bundleId

security

workflow

Technology

Créer un incident de sécurité à partir de la liste des incidents de sécurité

Rversion finale: Australia

Mis à jour 12 mars 2026

5 minutes de lecture

Outre les méthodes automatiques de création d’incidents de sécurité, vous pouvez les créer manuellement, selon les besoins.

Cette vidéo montre une vue d’ensemble visuelle de la façon dont vous pouvez créer un incident de sécurité à partir de la liste des incidents de sécurité.

Avant de commencer

Rôle requis : sn_si.basic

Procédure

Accéder à une liste d’incidents de sécurité (par exemple, Tous > Incident de sécurité > Incidents > Afficher les incidents).
Sélectionnez Nouveau.

Remplissez les champs du formulaire.


Champ	Description
Sélectionner une balise de sécurité	Si nécessaire, sélectionnez une balise de sécurité pour ajouter des métadonnées à l’enregistrement ou identifiez qui doit avoir accès à cet enregistrement d’incident de sécurité. Ce champ n’apparaît qu’une fois l’incident de sécurité enregistré. Remarque : Les balises manuelles sont conservées lorsque les balises automatiques sont appliquées.
Numéro	[En lecture seule] Numéro de l’incident de sécurité.
Demandé par	Personne demandant l’exécution du travail.
Élément de configuration	Le serveur, l’ordinateur, le routeur ou tout autre élément de configuration affecté par le problème de sécurité.
Utilisateur affecté	Personne affectée par le problème de sécurité.
Emplacement	Emplacement du demandeur ou de la ressource. Si aucun élément de configuration n’est sélectionné, ce champ est pré-rempli avec l’emplacement du demandeur.
Catégorie	Catégorie qui identifie le type de problème de sécurité. Si une catégorie est sélectionnée, un workflow d’analyse de ce problème est exécuté lors de la sauvegarde de l’enregistrement. Par exemple, si vous sélectionnez Déni de service, le workflow Incident de sécurité - Déni de service - Modèle est exécuté. Pour plus d'informations, consultez Modèles de workflows de Réponse aux incidents de sécurité.
Sous-catégorie	Sous-catégorie qui précise le problème.
Ouvert	[En lecture seule] Affiche la date et l’heure d’ouverture de l’incident.
État	État actuel de l’incident de sécurité. Lors de la création d’un incident de sécurité, ce champ est défini par défaut sur Brouillon.
Sous-état	Détermine si l’incident de sécurité inclut un problème ou un changement en attente.
Source	Identifie la source de l’incident de sécurité, comme un e-mail, un appel téléphonique ou une surveillance du réseau.
Capteur d'alerte	Intégration de sécurité par laquelle vous ingérez les données d’alerte ou d’événement telle que CarbonBlack, CrowdStrike, McAfee, etc.
Règle d'alerte	Règle du produit de sécurité qui a déclenché la création de cet incident de sécurité.
Score du risque	Affiche le score de risque calculé pour cet incident de sécurité. La valeur est basée sur la priorité de l’incident de sécurité, le type d’incident de sécurité (déni de service, harponnage ou activité de code malveillant) et le nombre de sources qui ont déclenché un score de réputation échoué sur un indicateur. Le score de risque permet de hiérarchiser le travail d’incident de sécurité pour les analystes. Trois propriétés d’incident de sécurité vous permettent de désigner un point à code couleur à afficher à côté du score des risques dans la vue de liste afin de les rendre plus facilement identifiables. Si vous modifiez certains champs de l’incident de sécurité, tels que l’impact sur l’activité ou la priorité, et que vous sauvegardez l’enregistrement, le score de risque est automatiquement recalculé et affiché. Le changement est également reflété dans les notes de travail et dans la liste connexe Audits des scores des risques. Remarque : Le score de risque est également recalculé lorsque les utilisateurs affectés sont associés à un incident de sécurité, à des services affectés ou à des éléments vulnérables. Vous pouvez également saisir manuellement un nouveau score de risque. Cela peut être utile si vous souhaitez conserver un incident de sécurité particulier en haut de la liste des incidents de sécurité que vous analysez. Si vous saisissez un nouveau score de risque, la case Remplacement du score des risques est automatiquement cochée. Quels que soient les changements apportés à l’incident de sécurité, un score de risque saisi manuellement n’est pas automatiquement recalculé. Remarque : Si vous avez mis à niveau votre instance à partir d’une version antérieure, les scores de risque ont été calculés pour tous vos incidents de sécurité ouverts. Pour plus d'informations, consultez Présentation des calculateurs d’incidents de sécurité.
Remplacement du score du risque	Activez cette case à cocher pour remplacer la mise à jour automatique du score des risques. Le remplacement est reflété dans les notes de travail.
Impact sur l'activité	Sélectionnez l’importance de cet incident de sécurité pour votre entreprise. La valeur par défaut est Non critique. Si, après avoir sauvegardé l’enregistrement de l’incident de sécurité, vous modifiez la valeur dans les champs Priorité / Risque ou Risque , l’impact sur l’activité est recalculé.
Priorité	Sélectionnez l’ordre dans lequel traiter cet incident de sécurité, en fonction de l’urgence. Si cette valeur est modifiée après la sauvegarde de l’enregistrement, cela peut affecter le calcul de l’impact sur l’entreprise .
Groupe d'affectation	Groupe auquel cet incident de sécurité est affecté.
Affecté à	Personne affectée à l’analyse de cet incident de sécurité. Les affectations peuvent être effectuées manuellement ou automatiquement. Pour plus d'informations, consultez Affectation d’analystes de sécurité.
Description courte	Brève description de l’incident de sécurité.
Résultats de recherche dans la base de connaissances	Au fur et à mesure que vous saisissez la brève description, des liens vers des articles connexes à partir de la base de connaissances s’affichent. L’analyse des informations pourrait résoudre votre problème.

Cliquez avec le bouton droit dans l’en-tête de l’enregistrement, puis sélectionnez Enregistrer.
Si vous avez ajouté un nouveau CI à l’incident de sécurité, les workflows d’intégration suivants sont automatiquement exécutés :
- Opérations de sécurité : obtenir le flux d’exécution des processus. Ce workflow récupère une liste des processus en cours d’exécution sur un élément de configuration (CI) à partir d’un point de terminaison ou d’un hôte.
- Réponse aux incidents de sécurité : obtenir le workflow des services d’exécution. Ce workflow récupère une liste des services en cours d’exécution à partir des CI Windows.
- Intégrations des opérations de sécurité : obtenir le flux des statistiques réseau. Ce workflow récupère une liste des connexions réseau actives à partir d’un hôte ou d’un point de terminaison.
Pour afficher les informations récupérées par ces workflows, cliquez sur le lien connexe Afficher les données d’enrichissement , puis sur l’un des onglets indiqués.

Remarque :
Des workflows supplémentaires sont exécutés en fonction des intégrations tierces que vous avez activées, comme suit Intégration Carbon Black pour Opérations de sécurité : obtenir le flux d’exécution des processus