Traitement des incidents
Un incident est une entrée relative à un événement survenu pendant le fonctionnement de l'application et lié à une fuite possible d'informations. Kaspersky Security crée des incidents dans les cas suivants :
- violation d'une stratégie ;
- recherche des données sur SharePoint.
Chaque incident contient des informations détaillées sur les fichiers et les utilisateurs impliqués ainsi que sur son origine. Ces informations sont indispensables pour analyser les fuites de données éventuelles et mener une enquête.
Le traitement des incidents dépend des attribution de l'expert en sécurité informatique et peut varier en fonction des procédures de traitement des incidents en vigueur dans l'organisation.
Gestion du traitement des incidents
Le traitement des incidents peut être géré d'une des manières suivantes :
- à l'aide des états des incidents ;
L'état de l'incident affiche les informations relatives à l'état actuel de l'incident. Vous pouvez modifier l'état d'un incident à tout moment. Les informations relatives à la modification de l'état d'un incident, à l'auteur de la modification et à l'heure de la modification sont consignées dans l'historique de l'incident.
L'application permet de modifier l'état de plusieurs incidents simultanément.
- à l'aide de commentaires.
Les commentaires peuvent contenir des informations sur les causes de la modification de l'état d'un incident et sur l'analyse des circonstances liées à l'incident.
Vous pouvez ajouter des commentaires à un incident pendant la modification de l'état d'un incident ou pendant la consultation de l'historique de l'incident.
Sélection des incidents à traiter
L'application ajoute tous les incidents créés à la liste des incidents à l'entrée Incidents. Vous pouvez configurer l'aspect de la liste en modifier les informations affichées dans le tableau.
Quand un incident est créé, l'application lui attribue automatiquement l'état Nouveau. Pour voir les nouveaux incidents à traiter, il faut actualiser la liste des incidents.
Pour rechercher des incidents selon des critères définis (par exemple, pour rechercher des incidents liés à un utilisateur), vous pouvez utiliser le filtre d'incidents. Pour utiliser des incidents similaires (autrement dit, des incidents dont les données correspondent) vous pouvez utiliser la recherche d'incidents similaires.
Consultation des informations relatives à un incident et traitement de celles-ci
Le traitement des nouveaux incidents peut débuter par la consultation des informations relatives à l'incident.
Les incidents sélectionnés pour le traitement doivent avoir l'état En cours de traitement. Si plusieurs experts en sécurité de l'information travaillent dans l'organisation, cela simplifie la coordination des tâche.
L'examen du contexte de la violation est indispensable à la prise de décision sur l'incident. Le contexte de la violation apparaît dans la fenêtre contenant les informations sur l'incident. Le contexte de la violation contient tous les fragments de texte contenant des données qui confirment la violation. Les mots clés ou les données du tableau sont mises en évidence en rouge dans chaque extrait. Si le contexte de la violation ne suffit pas pour prendre une décision sur l'incident, vous pouvez ouvrir sur SharePoint le fichier lié à l'incident.
Lorsque le curseur est placé sur l'extrait de texte qui prouve la violation, une infobulle s'affiche à côté du curseur et indique le nom de la sous-catégorie de données (cf. illustration ci-après). Une sous-catégorie est un sous-ensemble de données qui appartient à une catégorie plus importante. Le nom de la sous-catégorie permet de préciser le domaine de la catégorie à laquelle se rapportent les données.
Le nom de la sous-catégorie s'affiche dans l'infobulle flottante
Vous pouvez ajouter l'URL du fichier lié à l'incident aux exclusions. Cela permet de réduire le nombre de faux-positifs pour les incidents lors de l'analyse de documents types (par exemple, les formulaires uniformisés de contrats ou d'actes). L'application ajoute l'adresse Internet du fichier aux exclusions de la manière suivante :
- Si l'incident a été créé suite à une violation de la stratégie, l'adresse Internet sera ajoutée aux exclusions de la stratégie. L'application ne contrôlera pas le transfert de fichiers vers cette adresse réalisé par les utilisateurs.
- Si l'incident a été créé pendant l'exécution de la tâche de recherche, l'adresse Internet sera ajoutée aux exclusions de la tâche de recherche. L'application n'analysera pas les fichiers qui se trouvent à cette adresse.
Si l'incident est survenu pendant l'exécution d'une tâche de recherche dans Kaspersky Security 9.0, vous ne pouvez pas ajouter l'adresse Internet du fichier aux exclusions pour la tâche de recherche.
S'il est indispensable d'exporter les informations sur l'incident pour l'élaboration d'une notice de service, vous pouvez copier les informations sur l'incident dans le presse-papier.
Fin du traitement des incidents
Après l'analyse des informations relatives à l'incident, celui-ci peut recevoir un des états suivants :
- Fermés (traités), si le traitement de l'incident est terminé.
- Fermés (faux positifs), si la violation de la stratégie s'avère être un faux-positif (en cas d'erreur dans la configuration de la stratégie par exemple).
- Fermé (pas un incident), si la violation de la stratégie est acceptable dans le cadre d'une exclusion.
- Fermés (autres), dans tous les autres cas.
Une fois que des incidents ont été traités, ils peuvent être retirés de la liste des incidents grâce à la procédure d'archivage.
Il est conseillé d'archiver les incidents dès que leur nombre dépasse 100 000. Si le nombre d'incidents atteint 300 000, Kaspersky Security peut fonctionner de manière instable.
Nouveau traitement d'un incident
Si vous devez consulter des incidents archivés, il faudra restaurer les incidents. L'application attribue l'état archivé à tous les incidents restaurés.
Une fois que vous avez fini de traiter ces incidents, vous pouvez les supprimer de la liste.