Administration Gestion des incidents de sécurité majeurs

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Planifiez et configurez votre Gestion des incidents de sécurité majeurs implémentation.

    Vous pouvez configurer les aspects suivants de l’administration Gestion des incidents de sécurité majeurs :

    Activer la proposition, la promotion et la liaison d’incidents de sécurité majeurs

    Permettez aux utilisateurs de décider de proposer ou de promouvoir des incidents en tant qu’incidents de sécurité majeurs. Suivez facilement tous les incidents liés à un incident de sécurité majeur en permettant de lier les incidents de sécurité à l’incident parent ou enfant.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Procédure

    1. Accédez à la Tous > Gestion des incidents de sécurité majeurs > Administration MSI > Configurations.
    2. Permettez aux utilisateurs de proposer un incident de sécurité pour un incident de sécurité majeur en cochant la case Proposer un incident de sécurité majeur dans la section Actions de l’espace de travail SIR/VR.
    3. Activez les utilisateurs pour promouvoir un incident de sécurité en incident de sécurité majeur en cochant la case Promouvoir en incident de sécurité majeur .
    4. Activez la liaison d’un incident de sécurité à un incident de sécurité majeur afin qu’ils puissent être suivis ensemble en cochant la case Lier à l’incident de sécurité majeur .
    5. Sélectionnez Mettre à jour.

    Marquer les incidents de sécurité comme incidents de sécurité majeurs

    Étiquetez ou étiquetez les incidents de sécurité ou les enregistrements vulnérables pour un incident de sécurité majeur lorsque l’incident est proposé ou promu. Si un incident de sécurité est proposé, l’enregistrement d’incident est désigné comme candidat à un incident de sécurité majeur. Lorsqu’une sécurité est promue, l’enregistrement d’incident est appelé Incident de sécurité majeur avec l’état Accepté.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Procédure

    1. Accédez à la Tous > Gestion des incidents de sécurité majeurs > Administration MSI > Configurations.
    2. Cochez la case Activez les étiquettes d’affichage pour étiqueter le candidat d’incident proposé comme incident de sécurité majeur en sélectionnant le champ de recherche Nom de l’étiquette - Proposer en tant que candidat et sélectionnez Candidat d’incident de sécurité majeur dans la section Étiquettes de l’espace de travail SIR/VR .
    3. Cochez la case Activez les étiquettes d’affichage pour étiqueter le candidat d’incident promu comme incident de sécurité majeur en sélectionnant le champ de recherche Nom de l’étiquette - Promotion en incident de sécurité majeur et sélectionnez Incident de sécurité majeur dans la section Étiquettes de l’espace de travail SIR/VR .
    4. Sélectionnez Mettre à jour.

    Configurer les étiquettes pour les incidents de sécurité majeurs

    Configurez les étiquettes dans Major Security Incident Management pour créer des étiquettes personnalisées et filtrer les activités et tâches de collaboration externes dans le flux d’activité. Les différents types d’étiquettes implémentées sont les étiquettes d’état et les étiquettes de chronologie.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Procédure

    1. Accédez à la Tous > Gestion des incidents de sécurité majeurs > Administration MSI > Configurations.
    2. Cochez la case Activer les étiquettes d’affichage pour activer l’étiquetage des différents états d’incident tels que Analyse, Contenir, Éradiquer, Récupérer, Réviser, Événement de chronologie dans la section Étiquettes de l’espace de travail MSIM (Afficher dans Activités et tâches de collaboration).
    3. Sélectionnez Mettre à jour.

    Configurer les étiquettes pour les incidents de sécurité majeurs

    Configurez différents types d’étiquettes pour mieux filtrer et indiquer également les états des incidents. Les étiquettes d’incident de sécurité majeur offrent la flexibilité d’étiqueter les activités et les tâches de collaboration des enregistrements d’incident.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Vous pouvez sélectionner ou désélectionner les étiquettes à l’aide de l’icône d’étiquettes disponible dans la section Flux d’activité de la section Collaboration et organisateur de tâches de l’espace de travail MSIM.

    Procédure

    1. Accédez à la Tous > Gestion des incidents de sécurité majeurs > Administration MSI > Étiquettes MSI.
    2. Cliquez sur Nouveau pour créer une nouvelle étiquette.
    3. Remplissez le formulaire avec le nom de l’étiquette et la couleur de l’étiquette.
    4. Cliquez sur Créer une étiquette.
    5. OOTB, les étiquettes configurées pour chaque état d’incident sont les suivantes et vous ne pouvez pas modifier le nom ou la couleur de l’étiquette :
      • Analyse
      • Contenir
      • Éradiquer
      • Revue
      • Récupérer
      • Événement de chronologie
      Remarque :
      Vous pouvez modifier les étiquettes personnalisées et leurs propriétés.

    Définir les préférences de notification pour MSIM

    Automatisez le processus de notification par e-mail et informez les utilisateurs lorsqu’un incident de sécurité est proposé ou promu en candidat à un incident de sécurité majeur.

    Rôle requis : sn_msi.workspace_admin.

    Les notifications ne sont déclenchées que lorsqu’un incident de sécurité est proposé et envoyé à tous les utilisateurs et groupes configurés sur la liste des notifications. Par défaut, la notification par e-mail est reçue par l’utilisateur qui a proposé l’incident de sécurité en tant que candidat à l’incident de sécurité majeur.

    Notification : incident de sécurité proposé (SI) comme incident de sécurité majeur (MSI)

    Qui recevra :

    • Par défaut, Réviseurs MSI nom de groupe est créé et tout utilisateur ajouté à ce groupe aura le privilège d’être un Gestionnaire MSIM et les utilisateurs qui font partie de ce groupe recevront les e-mails de notification.
    • Tout utilisateur spécifique ajouté au Utilisateurs list recevra également les e-mails de notification.

    Ce qu’il contiendra :

    Si vous souhaitez modifier le contenu de l’e-mail, par exemple le corps de l’e-mail, qui inclut l’objet ou le message HTML du message, vous devez disposer du rôle d’administrateur système ou y avoir accès ou être affecté en tant qu’administrateur système et non en tant qu’administrateur MSI.

    Notification SI proposée à MSI
    Notification : incident de sécurité promu (SI) comme incident de sécurité majeur (MSI)

    Cette notification est déclenchée lorsqu’un incident de sécurité est promu et lorsque l’explorateur de fichiers et Microsoft Teams la structure de base sont créés. Par défaut, cette notification est reçue par l’utilisateur qui a promu l’incident de sécurité en incident de sécurité majeur.

    Qui recevra

    • Par défaut, un Groupe par nom Répondeur MSI est créé et tout utilisateur ajouté à ce groupe aura le privilège d’avoir Répondeur MSIM et tous les utilisateurs qui sont dans ce groupe recevront l’e-mail de notification.
    • Tout utilisateur spécifique ajouté au Utilisateurs list recevra également les e-mails de notification.
    Ce que cela contiendra

    Si vous souhaitez modifier le contenu de l’e-mail, par exemple le corps de l’e-mail, y compris l’objet ou le message HTML , vous devez disposer du rôle d’administrateur système ou vous voir affecté ce rôle d’administrateur système et non un administrateur MSI.

    Notification SI promue en MSI

    Configurer les activités de fermeture MSI

    Établissez des actions qui se produiront automatiquement lors de la fermeture d’un incident de sécurité majeur. Renforcez la sécurité en archivant et en supprimant automatiquement l’accès aux dossiers contenant des informations de résolution.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Procédure

    1. Accédez à la Tous > Gestion des incidents de sécurité majeurs > Administration MSI > Configurations.
    2. Archiver les communications de messagerie instantanée relatives à la résolution de l’incident en cochant la case Archiver les canaux de collaboration dans la section Actions de fermeture automatisées.
    3. Supprimez les dossiers contenant du matériel lié à la résolution de l’incident en cochant la case Supprimer les dossiers de collaboration .
    4. Sélectionnez Mettre à jour.