Présentation de Réponse aux incidents de sécurité

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 6 minutes de lecture

    • Avec Réponse aux incidents de sécurité (SIR), gérez le cycle de vie de vos incidents de sécurité, de l’analyse initiale au confinement, en passant par l’éradication et la reprise. Security Incident Response vous permet d’obtenir une compréhension complète des procédures de réponse aux incidents exécutées par vos analystes, ainsi que de comprendre les tendances et les goulots d’étranglement de ces procédures grâce à des tableaux de bord et des rapports basés sur des analyses.

    Regardez cette vidéo de neuf minutes pour en savoir plus sur le processus SIR, son utilisation Réponse aux incidents de sécurité pour déjouer les attaques et visualiser l’activité de sécurité dans l’Explorateur Réponse aux incidents de sécurité .

    Les intégrations intégrées avec des solutions de cybersécurité tierces et les intégrations développées par des partenaires à partir de la boutique permettent l’automatisation et l’orchestration de la ServiceNow sécurité pour une réponse efficace et précise aux incidents.

    Pour protéger vos enquêtes et préserver la confidentialité des incidents de sécurité, Réponse aux incidents de sécurité fournit des moyens de restreindre l’accès au système à des rôles et ACL spécifiques liés à la sécurité. L’accès peut être restreint aux administrateurs non liés à la sécurité, sauf si vous leur autorisez expressément l’entrée.
    Remarque :
    Les administrateurs de système informatique [admin] peuvent emprunter l’identité d’utilisateurs ServiceNow. Toutefois, lorsqu’il emprunte l’identité d’un utilisateur avec un rôle d’administrateur d’application pour Réponse aux incidents de sécurité, un administrateur ne peut pas accéder aux fonctionnalités accordées par ce rôle, y compris les incidents de sécurité et les informations de profil. L’accès aux modules et aux applications dans la barre de navigation est également limité. En outre, l’administrateur ne peut pas modifier le mot de passe d’un utilisateur disposant d’un rôle d’administrateur d’application pour Réponse aux incidents de sécurité.

    Flux d’informations sur Réponse aux incidents de sécurité

    Security Incident Response utilise le flux d’informations suivant, de l’intégration à l’enquête, puis à la résolution et à l’examen.

    Remarque :
    Il s’agit d’une infographie interactive, vous pouvez donc essayer de cliquer sur l’une des icônes ou étapes de l’image pour en savoir plus sur ce processus ou cette tâche.
    Flux d’informations Réponse aux incidents de sécuritéCliquez sur cette image pour en savoir plus sur les intégrations SIRCliquez sur cette image pour en savoir plus sur la création d’incidents de sécuritéCliquez sur cette image pour en savoir plus sur Threat IntelligenceCliquez sur cette image pour en savoir plus sur l’espace de travail SIRCliquez sur cette image pour en savoir plus sur les fonctionnalités d’attaque MITRECliquez sur cette image pour en savoir plus sur les activités de revue post-incident

    Découverte

    Les incidents de sécurité peuvent être journalisés ou créés de la manière suivante.
    • À partir du formulaire d’incident de sécurité
    • À partir d’événements qui sont engendrés en interne, ou créés par des systèmes externes de surveillance ou de suivi des vulnérabilités via des règles d’alerte, ou manuellement
    • À partir de systèmes de surveillance ou de suivi externes
    • À partir du catalogue de services

    Analyse

    Selon la vue sélectionnée que vous utilisez (par défaut, Sécurité non informatique, Sécurité ITIL, etc.), le formulaire d’incident de sécurité peut afficher n’importe quelle combinaison de vulnérabilités, d’incidents, de changements, de problèmes et de tâches sur le CI affecté et les groupes de CI affectés. Le système peut identifier les logiciels malveillants, les virus et d’autres zones de vulnérabilité en recoupant la base de données du National Institute of Standards and Technology (NIST) ou d’autres logiciels de détection tiers. Au fur et à mesure que les incidents de sécurité sont résolus, vous pouvez utiliser n’importe quel incident pour créer un article de la base de connaissances de sécurité pour référence ultérieure.

    Effectuez une analyse plus approfondie à l’aide d’une carte des services d’entreprise pour localiser d’autres systèmes ou services d’entreprise affectés qui peuvent être infectés.

    Confinement, éradication et reprise

    Lorsque vous surveillez et analysez les vulnérabilités, vous pouvez créer et affecter des tâches à d’autres départements. Vous pouvez utiliser une carte de service d’entreprise pour créer des tâches, des problèmes ou des changements pour tous les systèmes, documents, activités, messages SMS, appels de pont, etc.

    Réviser

    Une fois l’incident résolu, d’autres étapes peuvent avoir lieu avant la fermeture. Vous pouvez effectuer une revue post-incident. La création d’articles de la base de connaissances peut aider lors de futurs incidents similaires. Les incidents importants peuvent nécessiter un examen de résolution post-incident. Cet examen peut prendre plusieurs formes. Par exemple :
    • Organisez une réunion pour discuter de l’incident et recueillir des réponses.
    • Rédigez et distribuez aux équipes qui ont travaillé sur un incident une liste de questions d’examen de résolution conçues pour chaque catégorie ou priorité d’incident.
    • Les gestionnaires d’incidents peuvent rédiger le rapport et recueillir les informations par eux-mêmes.
    Un rapport d’examen de résolution d’incident comprenant :
    1. Un résumé de ce qui a été fait
    2. la chronologie
    3. Type d’incident de sécurité rencontré
    4. tous les incidents, changements, problèmes, tâches, groupes de CI associés
    5. Les détails de la résolution
    En outre, un système d’enquête automatisé d’examen de la résolution des incidents de sécurité est disponible. Il rassemble les noms de tous les utilisateurs affectés à un incident de sécurité et envoie une enquête personnalisée pour recueillir des données sur la gestion de l’incident. Ces données peuvent ensuite être mises à disposition dans un rapport d’examen des incidents de sécurité généré, que vous pouvez modifier dans une version finale. Des données similaires peuvent être ajoutées à un article de la base de connaissances pour contenir les enseignements tirés et les mesures à prendre pour résoudre des problèmes similaires à l’avenir.

    Demander des applications dans l'App Store

    Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.

    Terminologie de Security Incident Response

    Les termes suivants sont utilisés dans .Réponse aux incidents de sécurité
    Terme Définition
    Actif Tout incident de sécurité dont l’état n’est pas fermé ou annulé.
    Verrouillage de l’administrateur La possibilité de restreindre Réponse aux incidents de sécurité l’accès au personnel ayant des rôles et des ACL liés à la sécurité.
    Demandes de sécurité entrantes Demandes soumises pour des demandes de sécurité à faible impact, telles que la demande d’un nouveau badge électronique.
    Gérer les activités post-incident Un examen des origines et de la gestion d’un incident de sécurité Le produit final est un rapport post-incident, qui documente toutes les actions effectuées et les raisons pour lesquelles elles ont été effectuées.
    Tâches de réponse Tâches affectées à un incident de sécurité pour le suivi des actions en réponse à la menace.
    Comprendre les calculateurs d’incidents de sécurité Calculateurs utilisés pour mettre à jour les valeurs d’enregistrement lorsque les conditions préconfigurées sont remplies.
    Arborescences d’incidents de sécurité Type de graphique qui affiche hiérarchiquement les données d’incident de sécurité sous la forme de rectangles imbriqués.
    Recherche de menace Demande soumise à partir du catalogue des incidents de sécurité pour l’analyse des fichiers, des URL et des adresses IP à la recherche de programmes malveillants.
    Analyse des vulnérabilités Une demande initiée à partir du formulaire d’incident de sécurité pour analyser les ressources affectées (serveurs, ordinateurs et autres éléments de configuration) pour détecter les vulnérabilités.