Modèle de workflow d’incident de sécurité Hameçonnage

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Le modèle Incident de sécurité - Hameçonnage - vous permet d’effectuer une série de tâches conçues pour gérer les e-mails de spear phishing sur votre réseau.

    Avant de commencer

    Rôle requis : sn_si.write

    Pourquoi et quand exécuter cette tâche

    Le workflow est déclenché lorsque la catégorie d’un incident de sécurité est définie sur Hameçonnage ciblé. Cette action entraîne la création d’une tâche de réponse pour la première activité du workflow.

    Figure 1. Harponnage
    Modèle de workflow de spear phishing

    Procédure

    1. Ouvrez l’incident de sécurité pour cette attaque de spear phishing potentielle ou créez un nouvel incident de sécurité.
    2. Dans Catégorie, sélectionnez Spear Phishing (Hameçonnage ciblé).
    3. Enregistrez l'enregistrement.
    4. Faites défiler vers le bas et ouvrez la liste connexe Tâches de réponse .
      La première d’une série de tâches de réponse s’affiche. Chaque fois que l’enregistrement est enregistré, votre réponse à la tâche précédente entraîne la création de la tâche de réponse suivante ou la fin du workflow.
      Tableau 1. Tâches de réponse dans le modèle de spear phishing
      Tâche de réponse Action Résultats
      S’agit-il d’une attaque de phishing ? Déterminez s’il s’agit d’une attaque de phishing.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, les tâches suivantes sont exécutées en parallèle :
      • Point de terminaison d’analyse : programme malveillant détecté ?
      • Mettre à jour le logiciel de protection des e-mails
      • Supprimer l’e-mail d’hameçonnage non lu dans la file d’attente : pour tous les utilisateurs

      Si vous sélectionnez Non, le flux se termine.
      Point de terminaison d’analyse : programme malveillant détecté ? Après avoir exécuté une analyse, déterminez si un programme malveillant a été détecté.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Supprimer les programmes malveillants - Réussite ? est exécutée.

      Si vous sélectionnez Non, la tâche Définir l’état sur Révision est exécutée.
      Supprimer les logiciels malveillants - Succès ? Déterminez si le programme malveillant a été supprimé avec succès.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Définir l’état sur Examiner est exécutée.

      Si vous sélectionnez Non, la tâche Effacer et réimager est exécutée.
      Effacer et recréer l’image Si vous n’avez pas réussi à supprimer le programme malveillant détecté, cette tâche vous demande d’effectuer un nettoyage et de réimager les ordinateurs infectés par le programme malveillant. Une fois la tâche terminée, la tâche Définir l’état sur Révision est exécutée.
      Mettre à jour le logiciel de protection des e-mails S’il a été déterminé qu’il s’agit d’une attaque de phishing, vous êtes invité à mettre à jour votre logiciel de protection des e-mails en conséquence. Lorsque la tâche est terminée, la tâche Définir l’état sur Révision est exécutée.
      Supprimer l’e-mail d’hameçonnage non lu dans la file d’attente : pour tous les utilisateurs Effectuez les étapes nécessaires pour supprimer l’e-mail d’hameçonnage encore dans la file d’attente pour tous vos utilisateurs. Lorsque la tâche est terminée, la tâche Définir l’état sur Révision est exécutée.
      Définir l’état sur Révision Aucune action n'est requise. L’état de l’incident de sécurité passe automatiquement à Révision.

      La tâche Planifier une formation de sensibilisation à la sécurité est exécutée.
      Planifier une formation de sensibilisation à la sécurité Planifiez une formation pour sensibiliser vos employés à la sécurité.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Lorsque la tâche est terminée, le flux se termine.