Administration Gestion des incidents de sécurité majeurs

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 6 minutes de lecture

    • Planifiez et configurez votre implémentation Gestion des incidents de sécurité majeurs.

    Vous pouvez configurer les aspects d’administration Gestion des incidents de sécurité majeurs suivants :

    Activer la proposition, la promotion et le lien des incidents de sécurité majeurs

    Permettez aux utilisateurs de décider de proposer ou de promouvoir des incidents en tant qu’incidents de sécurité majeurs. Suivez facilement tous les incidents liés à un incident de sécurité majeur en permettant de lier les incidents de sécurité à l’incident parent ou enfant.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Procédure

    1. Accédez à la Tout > Gestion des incidents de sécurité majeurs > Administration MSI > Configurations.
    2. Permettez aux utilisateurs de proposer un incident de sécurité à un incident de sécurité majeur en cochant la case Proposer un incident de sécurité majeur dans la section Actions de l’espace de travail SIR/VR.
    3. Permettez aux utilisateurs de promouvoir un incident de sécurité en un incident de sécurité majeur en cochant la case Promouvoir en incident de sécurité majeur .
    4. Activez la liaison d’un incident de sécurité à un incident de sécurité majeur afin qu’ils puissent être suivis ensemble en cochant la case Lier à un incident de sécurité majeur .
    5. Sélectionnez Mettre à jour.

    Marquer les incidents de sécurité comme incidents de sécurité majeurs

    Balisez ou étiquetez les incidents de sécurité ou les enregistrements vulnérables d’un incident de sécurité majeur lorsque l’incident est proposé ou promu. Si un incident de sécurité est proposé, l’enregistrement d’incident est considéré comme un candidat à l’incident de sécurité majeur. Lorsqu’un titre est promu, l’enregistrement d’incident est alors appelé Incident de sécurité majeur avec l’état Accepté.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Procédure

    1. Accédez à la Tout > Gestion des incidents de sécurité majeurs > Administration MSI > Configurations.
    2. Cochez la case Activer les étiquettes d’affichage pour étiqueter le candidat à l’incident proposé comme incident de sécurité majeur en sélectionnant le champ de recherche Nom de l’étiquette - Proposer en tant que candidat et sélectionnez Candidat à l’incident de sécurité majeur dans la section Étiquettes de l’espace de travail SIR/VR .
    3. Cochez la case Activer les étiquettes d’affichage pour étiqueter le candidat à l’incident promu comme incident de sécurité majeur en sélectionnant le champ de recherche Nom d’étiquette - Promotion en incident de sécurité majeur et sélectionnez Incident de sécurité majeur dans la section Étiquettes de l’espace de travail SIR/VR .
    4. Sélectionnez Mettre à jour.

    Configurer des étiquettes pour les incidents de sécurité majeurs

    Configurez les étiquettes dans la gestion des incidents de sécurité majeurs pour créer des étiquettes personnalisées et filtrer les activités et les tâches de collaboration externes dans le flux d’activité. Les différents types d’étiquettes implémentées sont les étiquettes d’état et les étiquettes de chronologie.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Procédure

    1. Accédez à la Tout > Gestion des incidents de sécurité majeurs > Administration MSI > Configurations.
    2. Case à cocher Activer les étiquettes d’affichage pour activer l’étiquetage des différents états d’incident tels que Analyse, Contenir, Éradiquer, Récupérer, Examiner, Événement de chronologie dans la section Étiquettes de l’espace de travail MSIM (affichage sur les activités et tâches de collaboration).
    3. Sélectionnez Mettre à jour.

    Configurer des étiquettes pour les incidents de sécurité majeurs

    Configurez différents types d’étiquettes pour mieux filtrer et indiquer les états des incidents. Les étiquettes d’incident de sécurité majeur offrent la flexibilité d’étiqueter les activités et les tâches de collaboration des enregistrements d’incidents.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Vous pouvez sélectionner ou désélectionner les étiquettes à l’aide de l’icône d’étiquettes disponible dans la section Flux d’activité de la section Collaboration et organisateur de tâches de l’espace de travail MSIM.

    Procédure

    1. Accédez à la Tout > Gestion des incidents de sécurité majeurs > Administration MSI > Étiquettes MSI.
    2. Cliquez sur Nouveau pour créer une étiquette.
    3. Remplissez le formulaire avec le nom de l’étiquette et la couleur de l’étiquette.
    4. Cliquez sur Créer une étiquette.
    5. Dans le cadre du système de base, les étiquettes configurées sont les suivantes pour chaque état d’incident et vous ne pouvez pas modifier le nom ou la couleur de l’étiquette :
      • Analyse
      • Contenir
      • Éradiquer
      • Réviser
      • Récupérer
      • Événement de chronologie
      Remarque :
      Vous pouvez modifier les étiquettes personnalisées et leurs propriétés.

    Configurer des catégories de chronologie pour les incidents de sécurité majeurs

    Configurez et affectez des catégories de chronologie telles que Menace, Réponse ou Personnalisé à vos incidents de sécurité majeurs à l’aide de la section Chronologie de l’onglet Vue d’ensemble.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Procédure

    1. Accédez à la Tout > Gestion des incidents de sécurité majeurs > Administration MSI > Catégories de chronologie.
      Les catégories de chronologie suivantes sont fournies dans le cadre du système de base :
      • Personnalisé.
      • Réponse.
      • Menace.
    2. Pour modifier une catégorie d’événement de chronologie existante, procédez comme suit :
      1. Sélectionnez une catégorie d’événement de chronologie dans la liste.
      2. Vous pouvez modifier le nom de la catégorie d’événement de chronologie.
      3. Vous pouvez modifier la couleur de l’événement et sélectionner une autre couleur pour votre catégorie d’événement de chronologie.
      4. Sélectionnez Mettre à jour.
    3. Pour créer une nouvelle catégorie d’événement de chronologie, procédez comme suit :
      1. Sélectionnez Nouveau.
      2. Dans le champ Nom, saisissez un nom pour la catégorie d’événement de chronologie.
      3. Dans le champ Couleur de l’événement, choisissez une couleur pour la catégorie de chronologie de l’événement à l’aide de la liste déroulante.
      4. Sélectionnez Soumettre.

    Définir les préférences de notification pour MSIM

    Automatisez le processus de notification par e-mail et notifiez les utilisateurs lorsqu’un incident de sécurité est proposé ou promu en candidat à un incident de sécurité majeur.

    Rôle requis : sn_msi.workspace_admin.

    Les notifications ne sont déclenchées que lorsqu’un incident de sécurité est proposé et envoyé à tous les utilisateurs et groupes configurés dans la liste de notifications. Par défaut, la notification par e-mail est reçue par l’utilisateur qui a proposé l’incident de sécurité en tant que candidat à l’incident de sécurité majeur.

    Notification : incident de sécurité proposé (SI) en tant qu’incident de sécurité majeur (MSI)

    Qui recevra :

    • Par défaut Réviseurs MSI Le nom de groupe est créé et tout utilisateur ajouté à ce groupe aura le privilège d’être un Gestionnaire MSIM et les utilisateurs qui font partie de ce groupe recevront les e-mails de notification.
    • Tout utilisateur spécifique ajouté au Utilisateurs recevra également les e-mails de notification.

    Que contiendra-t-il :

    Si vous souhaitez modifier le contenu de l’e-mail, tel que le corps de l’e-mail qui inclut l’objet ou le message HTML, vous devez disposer du rôle d’administrateur système ou vous être affecté en tant qu’administrateur système et non en tant qu’administrateur MSI.

    SI de notification proposé à MSI
    Notification : incident de sécurité promu (SI) en tant qu’incident de sécurité majeur (MSI)

    Cette notification est déclenchée lorsqu’un incident de sécurité est promu et lorsque l’explorateur de fichiers et Microsoft Teams la structure de base sont créés. Par défaut, cette notification est reçue par l’utilisateur qui a promu l’incident de sécurité en incident de sécurité majeur.

    Qui recevra

    • Par défaut, un Groupe par nom Répondeur MSI est créée et tout utilisateur ajouté à ce groupe aura le privilège d’avoir Répondeur MSIM et tous les utilisateurs qui font partie de ce groupe recevront l’e-mail de notification.
    • Tout utilisateur spécifique ajouté au Utilisateurs recevra également les e-mails de notification.
    Que contiendra-t-il ?

    Si vous souhaitez modifier le contenu de l’e-mail, notamment le corps de l’e-mail, qui inclut le code HTML de l’objet ou du message, vous devez disposer de l’accès au rôle d’administrateur système ou lui affecter le rôle d’administrateur système et non celui d’administrateur MSI.

    SI de notification promu à MSI

    Configurer les activités de fermeture de MSI

    Établissez des actions qui se produiront automatiquement lors de la fermeture d’un incident de sécurité majeur. Augmentez la sécurité en archivant automatiquement et en supprimant l’accès aux dossiers contenant des informations de résolution.

    Avant de commencer

    Rôle requis : sn_msi.workspace_admin

    Procédure

    1. Accédez à la Tout > Gestion des incidents de sécurité majeurs > Administration MSI > Configurations.
    2. Archivez les communications de messagerie instantanée liées à la résolution de l’incident en cochant la case Archiver les canaux de collaboration dans la section Actions de fermeture automatisées.
    3. Supprimez les dossiers contenant des documents liés à la résolution de l’incident en cochant la case Supprimer les dossiers de collaboration .
    4. Sélectionnez Mettre à jour.