Modèle de workflow d’exposition des données confidentielles des incidents de sécurité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Le modèle Incident de sécurité - Exposition de données confidentielles - vous permet d’effectuer une série de tâches conçues pour gérer l’exposition des données sensibles.

    Avant de commencer

    Rôle requis : sn_si.write

    Pourquoi et quand exécuter cette tâche

    Le workflow est déclenché lorsque la catégorie d’un incident de sécurité est définie ou changée sur Exposition des données d’identité personnelle confidentielles. Cette action entraîne la création d’une tâche de réponse pour la première activité du workflow.

    Figure 1. Exposition des données d'identité personnelle confidentielles
    Modèle d’exposition des données confidentielles

    Procédure

    1. Ouvrez l’incident de sécurité pour lequel vous souhaitez gérer l’exposition aux données sensibles ou créez un nouvel incident de sécurité.
    2. Dans Catégorie, sélectionnez Exposition des données d’identité personnelle confidentielles.
    3. Enregistrez l'enregistrement.
    4. Faites défiler vers le bas et ouvrez la liste connexe Tâches de réponse .
      La première d’une série de tâches de réponse s’affiche. Chaque fois que l’enregistrement est enregistré, votre réponse à la tâche précédente entraîne soit la création de la tâche de réponse suivante, soit la fin du flux.
      Tableau 1. Tâches de réponse dans le modèle d’exposition des données confidentielles
      Tâche de réponse Description Résultats
      Les données sont-elles sensibles ? Déterminez si les données associées à cet incident de sécurité sont sensibles ou confidentielles. Dans la tâche, sélectionnez Oui ou Non dans Résultat. Si vous avez sélectionné Oui, la tâche de réponse suivante est exécutée.

      Si vous avez sélectionné Non, le flux se termine.
      Déterminer la cause première et empêcher la sortie Déterminez la cause première de l’attaque et ajoutez un filtrage de sortie pour arrêter l’exfiltration, en mettant à jour le champ État dans la tâche le cas échéant. Si vous modifiez l’état de la tâche sur Fermé, terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Éliminer l’exposition liée à la cause première En fonction de la cause première, effectuez les étapes pour éliminer l’exposition, en mettant à jour le champ État de la tâche le cas échéant. Si vous modifiez l’état de la tâche sur Fermé, terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Mettre en quarantaine les artefacts résiduels Effectuez les étapes de mise en quarantaine de tous les artefacts résiduels, en mettant à jour le champ État de la tâche le cas échéant. Si vous modifiez l’état de la tâche sur Fermé, terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Processus juridique Effectuez les étapes pour satisfaire aux exigences juridiques de cette analyse, en mettant à jour le champ État de la tâche le cas échéant. Si vous modifiez l’état de la tâche sur Fermé, terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Processus de relations publiques Effectuez les étapes pour satisfaire aux exigences PR de cette analyse, en mettant à jour le champ État dans la tâche le cas échéant. Si vous modifiez l’état de la tâche sur Fermé, terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Définir l’état sur Revue Aucune action n'est requise. L’état de l’incident de sécurité passe automatiquement à Examen.
      Réunion sur les enseignements tirés Organisez une réunion Enseignements tirés pour trier le travail effectué sur ces données sensibles, en mettant à jour le champ État dans la tâche le cas échéant. Si vous modifiez l’état de la tâche sur Fermé, terminé ou Annulé, l’incident de sécurité reste à l’état Examiner jusqu’à ce que vous le fermiez.