Modèle de workflow Serveur ou service non autorisé d’incident de sécurité

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 2 minutes de lecture

    • Le modèle Incident de sécurité - Serveur ou service non autorisé - vous permet d’effectuer une série de tâches conçues pour gérer l’activité des serveurs ou services non autorisés qui affectent votre réseau.

    Avant de commencer

    Rôle requis : sn_si.write

    Pourquoi et quand exécuter cette tâche

    Le workflow est déclenché lorsque la catégorie d’un incident de sécurité est définie sur Serveur ou service non autorisé. Cette action entraîne la création d’une tâche de réponse pour la première activité du workflow.

    Figure 1. Serveur ou service non autorisé
    Modèle de workflow de serveur ou de service non autorisé

    Procédure

    1. Ouvrez l’incident de sécurité pour cette attaque potentielle ou créez un nouvel incident de sécurité.
    2. Dans Catégorie, sélectionnez Activité de serveur ou de service non autorisée.
    3. Enregistrez l'enregistrement.
    4. Faites défiler vers le bas et ouvrez la liste connexe Tâches de réponse .
      La première d’une série de tâches de réponse apparaît. Chaque fois que l’enregistrement est enregistré, votre réponse à la tâche précédente entraîne la création de la tâche de réponse suivante ou l’arrêt du workflow.
      Tableau 1. Tâches de réponse dans un serveur ou un modèle de service non autorisé
      Tâche de réponse Action Résultats
      Serveur ou service non autorisé vérifié ? Déterminez si une connexion avec un serveur ou un service non autorisé a été vérifiée sur votre réseau.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, les deux tâches suivantes sont exécutées en parallèle :
      • Identifier le(s) système(s) impacté(s)
      • Perte de données potentielle ?

      Si vous sélectionnez Non, le flux s’arrête.
      Identifier le(s) système(s) impacté(s) Déterminez les systèmes affectés par le contact avec le serveur ou le service non autorisé. Lorsque cette tâche est terminée, la tâche Mettre à jour le(s) système(s) - Supprimer les connexions non fiables est exécutée.
      Perte de données potentielle ? Déterminez si la connexion avec le serveur ou le service non autorisé a causé une perte de données potentielle.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Créer un incident de perte potentielle de données est exécutée.

      Si vous sélectionnez Non, la tâche Mettre à jour le(s) système(s) - Supprimer les connexions non fiables est exécutée.
      Créer un incident de perte de données potentiel Effectuez les étapes nécessaires pour créer un incident de sécurité en vue de la perte potentielle de données. Lorsque cette tâche est terminée, la tâche Mettre à jour le(s) système(s) - Supprimer les connexions non fiables est exécutée.
      Mettre à jour le(s) système(s) - Supprimer les connexions non fiables Effectuez les étapes nécessaires pour supprimer les connexions non autorisées. Lorsque cette tâche est terminée, la tâche Définir l’état sur Révision est exécutée.
      Définir l’état sur Revue Aucune action n'est requise. L’état de l’incident de sécurité passe automatiquement à Examen et la tâche de réunion Enseignements tirés est exécutée.
      Réunion sur les enseignements tirés Organiser une réunion sur les leçons apprises pour trier le travail effectué pour cet incident de serveur ou de service non autorisé.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Lorsque cette tâche est terminée, le flux s’arrête.