Gestion des incidents : Processus

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Workflow de gestion des incidents

Le module Incidents de Security Analytics collecte les alertes émises par plusieurs sources et permet de les regrouper de façon logique et de démarrer un workflow de réponse aux incidents pour identifier et corriger les problèmes de sécurité. Ce module vous permet de configurer des règles pour automatiser l'agrégation des alertes dans Incidents.  Les alertes sont normalisées par le système dans un format commun pour offrir aux utilisateurs une vue homogène des critères de règle indépendamment de la source de données. Vous pouvez élaborer des critères de requête basés sur les données d'alerte et effectuer des recherches dans les champs communs et propres aux sources de données.

Le moteur de règle vous permet de regrouper des alertes similaires dans un incident pour que le workflow de recherche et de correction puisse être partagé entre différentes alertes semblables. Vous pouvez créer des règles pour regrouper des alertes dans des incidents sur la base d'une valeur commune pour un ou deux attributs (par exemple, nom d'hôte de la source) ou si elles sont signalées dans une fenêtre limitée (par exemple, alertes distantes de 4 heures).

Si une alerte satisfait une règle, un incident est créé à l'aide des critères définis. Pour les nouvelles alertes, si un incident répondant aux critères a déjà été créé et qu'il n'est pas encore en cours, les nouvelles alertes continues à être ajoutées au même incident.  S'il n'existe aucun incident pour la valeur groupée (par exemple, le nom d'hôte) ou la fenêtre, un nouvel incident est créé et l'alerte lui est ajoutée. 

Vous pouvez avoir plusieurs règles d'agrégation. Les règles peuvent regrouper des alertes dans des incidents ou empêcher que des alertes correspondent à des règles. Les règles sont donc classées dans l'ordre décroissant et seule la première règle correspondant à une alerte entrante doit être utilisée pour inclure l'alerte en question dans un incident. Les incidents fournissent du contexte aux alertes et des outils pour enregistrer l'état de la procédure d'enquête, et permettent de suivre l'avancée des corrections.

Le processus de gestion des incidents se décompose en plusieurs étapes :

  • Vérifier les alertes
  • Gestion des incidents
  • Automatiser le processus de gestion des incidents
  • Suivre les réponses aux incidents via
    • Interface utilisateur Security Analytics
    • un système de service d'assistance tiers
    • RSA Archer Breach Management 

Schéma du workflow de gestion des incidents

La figure suivante illustre le processus de workflow de gestion des incidents.

incident_workflow.png

Previous Topic:Gestion des incidents
Next Topic:Les bases
You are here
Table of Contents > Processus de gestion des incidents

Attachments

    Outcomes