Modèle de workflow Déni de service d’incident de sécurité

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Le modèle Incident de sécurité - Déni de service - vous permet d’effectuer une série de tâches conçues pour gérer les attaques par déni de service (DOS).

    Avant de commencer

    Rôle requis : sn_si.write

    Pourquoi et quand exécuter cette tâche

    Le workflow est déclenché lorsque la catégorie d’un incident de sécurité est définie sur Déni de service. Cette action entraîne la création d’une tâche de réponse pour la première activité du workflow.

    Figure 1. Déni de service (DOS)
    Déni de serviceTemplate

    Procédure

    1. Ouvrez l’incident de sécurité pour cette occurrence de déni de service ou créez un nouvel incident de sécurité.
    2. Dans Catégorie, sélectionnez Déni de service.
    3. Enregistrez l'enregistrement.
    4. Faites défiler vers le bas et ouvrez la liste connexe Tâches de réponse .
      La première d’une série de tâches de réponse apparaît. Chaque fois que l’enregistrement est enregistré, votre réponse à la tâche précédente entraîne la création de la tâche de réponse suivante ou l’arrêt du flux.
      Tableau 1. Tâches de réponse dans le modèle de déni de service
      Tâche de réponse Action Résultats
      Le business cible est-il critique ? Déterminez si la cible de cette attaque DOS est critique pour l’entreprise.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, l’option Définir la priorité sur la tâche critique est exécutée.

      Si vous sélectionnez Non, la tâche Une vulnérabilité est-elle exploitée ? est exécutée.
      Définir la priorité sur critique Aucune action n'est requise. La priorité de l’incident de sécurité passe automatiquement à Critique et la tâche Une vulnérabilité est-elle exploitée ? est exécutée.
      Une vulnérabilité est-elle exploitée ? Déterminez si cette attaque DOS exploite une vulnérabilité logicielle.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche de demande de correctif d’urgence est exécutée.

      Si vous sélectionnez Non, la tâche Attaquant interne ? est exécutée.
      Demande de correctif d’urgence Émettez une demande d’application de correctif d’urgence pour le ou les systèmes attaqués.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Si vous avez changé l’état de la tâche sur Fermé terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Attaquant interne ? Déterminez si la source de cette attaque DOS est interne à votre organisation.

      Dans la tâche, sélectionnez Oui ou Non dans Résultat.

      		 Si vous sélectionnez Oui, la tâche Isoler le ou les hôtes attaquants est exécutée.

      Si vous sélectionnez Non, la tâche Notification du fournisseur de protection DOS et/ou du FAI est exécutée.
      Isoler le ou les hôtes attaquants Effectuez les étapes nécessaires pour isoler le ou les hôtes internes responsables de l’attaque.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Une fois cette étape terminée, la tâche Valider l’intégrité du système des systèmes attaqués est exécutée.
      Notifier le fournisseur de protection DOS et/ou le FAI Effectuez les étapes nécessaires pour contacter votre fournisseur de protection contre le déni de service et/ou votre fournisseur d’accès Internet pour les informer de l’attaque.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Si vous avez changé l’état de la tâche sur Fermé terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Valider l’intégrité du système des systèmes attaqués Effectuez les étapes nécessaires pour évaluer et valider l’intégrité des ordinateurs attaqués.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Si vous avez changé l’état de la tâche sur Fermé terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Réviser les protections DOS Procédez à un examen de vos protections et procédures DOS existantes. Apportez les modifications nécessaires.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Si vous avez changé l’état de la tâche sur Fermé terminé ou Annulé, la tâche de réponse suivante est exécutée.
      Définir l’état sur Revue Aucune action n'est requise. L’état de l’incident de sécurité passe automatiquement à Examen.

      La tâche de réunion Leçons apprises est exécutée.
      Réunion sur les enseignements tirés Organiser une réunion sur les leçons apprises pour trier le travail effectué pour cet incident de déni de service.

      Mettez à jour le champ État dans la tâche comme il convient.

      		 Si vous modifiez l’état de la tâche sur Fermé terminé ou Annulé, le flux s’arrête.