Modèle de workflow Déni de service d’incident de sécurité

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Le modèle Incident de sécurité - Déni de service - vous permet d’effectuer une série de tâches conçues pour gérer les attaques par déni de service (DOS).

    Avant de commencer

    Rôle requis : sn_si.write

    Pourquoi et quand exécuter cette tâche

    Le workflow est déclenché lorsque la catégorie d’un incident de sécurité est définie sur Déni de service. Cette action entraîne la création d’une tâche de réponse pour la première activité du workflow.

    Figure 1. Déni de service (DOS)
    Déni de ServiceTemplate

    Procédure

    1. Ouvrez l’incident de sécurité pour cet événement de déni de service ou créez un nouvel incident de sécurité.
    2. Dans Catégorie, sélectionnez Déni de service.
    3. Enregistrez l'enregistrement.
    4. Faites défiler vers le bas et ouvrez la liste connexe Tâches de réponse .
      La première d’une série de tâches de réponse s’affiche. Chaque fois que l’enregistrement est enregistré, votre réponse à la tâche précédente entraîne soit la création de la tâche de réponse suivante, soit la fin du flux.
      Tableau 1. Tâches de réponse dans le modèle de déni de service
      Tâche de réponse Action Résultats
      La cible est-elle critique pour l’activité ? Déterminez si la cible de cette attaque par déni de service est critique pour l’entreprise.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, l’option Définir la priorité sur la tâche critique est exécutée.

      Si vous sélectionnez Non, la tâche Une vulnérabilité est-elle exploitée ?, est exécutée.
      Définir la priorité sur critique Aucune action n'est requise. La priorité de l’incident de sécurité passe automatiquement à Critique et la tâche Une vulnérabilité est-elle exploitée ? est exécutée.
      Une vulnérabilité est-elle exploitée ? Déterminez si cette attaque DOS exploite une vulnérabilité logicielle.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche de demande de correctif d’urgence est exécutée.

      Si vous sélectionnez Non, la tâche Attaquant interne ? est exécutée.
      Demande de correctif d’urgence Émettre une demande de correctif d’urgence pour le ou les systèmes attaqués.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Si vous avez modifié l’état de la tâche sur Fermé, terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Attaquant interne ? Déterminez si la source de cette attaque DOS est interne à votre organisation.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Isoler le ou les hôtes attaquants est exécutée.

      Si vous sélectionnez Non, la tâche Notifier le fournisseur de protection DOS et/ou le FAI est exécutée.
      Isoler le ou les hôtes attaquants Effectuez les étapes nécessaires pour isoler le ou les hôtes internes responsables de l’attaque.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Une fois cette étape terminée, la tâche Valider l’intégrité du système des systèmes attaqués est exécutée.
      Notifier le fournisseur de protection contre le déni de service et/ou le FAI Effectuez les étapes nécessaires pour contacter votre fournisseur de protection contre le déni de service et/ou votre fournisseur d’accès Internet afin de les informer de l’attaque.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Si vous avez modifié l’état de la tâche sur Fermé, terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Valider l’intégrité des systèmes attaqués Effectuez les étapes nécessaires pour évaluer et valider l’intégrité des ordinateurs attaqués.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Si vous avez modifié l’état de la tâche sur Fermé, terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Examiner les protections DOS Passez en revue vos protections et procédures DOS existantes. Apportez les modifications nécessaires.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Si vous avez modifié l’état de la tâche sur Fermé, terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Définir l’état sur Revue Aucune action n'est requise. L’état de l’incident de sécurité passe automatiquement à Examen.

      La tâche de réunion Enseignements tirés est exécutée.
      Réunion sur les enseignements tirés Organisez une réunion Enseignements tirés pour trier le travail effectué pour cet incident de déni de service.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Si vous modifiez l’état de la tâche sur Fermé, Terminé ou Annulé, le flux s’arrête.