À propos des incidents
3 juillet 2024
ID 276796
Qu’est-ce qu’un incident
Dans le contexte de la sécurité de l’information, un incident constitue un événement imprévu ou indésirable susceptible de perturber l’activité normale ou la sécurité de l’information.
Un événement est le signe extérieur identifié d’un état particulier d’un système, d’un service ou d’un réseau.
Dans le cadre de la solution Kaspersky MDR, le principal critère à prendre en compte lorsque l’on décide que l’activité observée constitue un incident est la capacité à mettre en œuvre des mesures efficaces visant à contrer, prévenir ou réduire les éventuels dommages découlant de Cette activité. Le tableau ci-dessous comprend des exemples de critères d’incident et de mesures possibles en fonction de la source de l’événement.
Exemples de critères de détection des incidents et de mesures d’intervention
Source de l’événement | Éventuels critères liés aux incidents | Réponses éventuelles aux incidents |
|---|---|---|
Terminal |
|
|
Terminal + réseau | Événement de sécurité détecté par la technologie de détection de réseau prise en charge, qui a été confirmé sur le terminal |
|
Scénarios de détection d’incidents
Scénario 1 . Détection des incidents par la solution Kaspersky MDR
Dans ce scénario, un incident de sécurité de l’information est détecté grâce à la solution Kaspersky MDR. L’incident est enregistré automatiquement dans le système de suivi des incidents. Le niveau de priorité de l’incident par défaut peut être modifié ultérieurement ; il nécessite toutefois d’indiquer le motif du changement selon le tableau des niveaux de priorité d’incident (voir ci-dessous). Kaspersky MDR traite les événements enregistrés afin d’obtenir rapidement des renseignements sur l’état des infrastructures informatiques du client.
Si les causes fondamentales de l’incident sont déterminées à l’issue de l’analyse, des recommandations d’intervention sont fournies au client. Si les données ne permettent pas d’identifier la cause fondamentale de l’incident, tous les renseignements disponibles et les résultats de l’analyse sont fournis au client afin qu’il puisse mener des recherches de son côté.
Scénario 2 . Détection des incidents par le client (la création d’incidents personnalisés n’est pas disponible avec certains niveaux de licence commerciale)
Dans ce scénario, un incident de sécurité de l’information est détecté par le client, indépendamment de la solution Kaspersky MDR. Si l’incident doit être traité par Kaspersky MDR, le client peut enregistrer l’incident manuellement et fournir toutes les données disponibles concernant l’incident détecté à l’aide des fonctionnalités de Kaspersky MDR. Par défaut, le niveau de priorité de l’incident est défini sur Bas, sauf indication contraire du client lors de l’enregistrement de l’incident.
La suite du traitement de l’incident est similaire au scénario 1.
Niveaux de priorité des incidents
Niveaux de priorité des incidents et leurs descriptions
Niveau de priorité de l’incident | Description |
|---|---|
Élevée | Incidents qui, de l’avis des experts AO Kaspersky Lab, peuvent entraîner des perturbations majeures ou un accès non autorisé aux ressources du client surveillées par Kaspersky MDR. Par exemples, l’identification de traces d’une attaque ciblée ou d’une menace inconnue nécessitant de nouvelles recherches à l’aide de méthodes de police scientifique numérique. |
Moyenne | Les incidents qui, selon l’avis des experts AO de Kaspersky Lab, peuvent affecter l’efficacité ou les performances des ressources du client surveillées par Kaspersky MDR, ou peuvent entraîner une corruption unique des données. |
Faible | Incidents qui, selon l’avis des experts AO de Kaspersky Lab, n’affectent pas de manière significative l’efficacité ou les performances des ressources du client surveillées par Kaspersky MDR. Par exemple, les logiciels potentiellement indésirables identifiés comme un adware ou un riskware. |
Le niveau de priorité des incidents par défaut est Faible.
Objectifs de performance de la fourniture de la solution
Temps de réaction de la cible et valeur de la fourniture de Kaspersky MDR en fonction de la priorité de l’incident
Niveau de priorité de l’incident | Temps de réaction | Valeur cible |
|---|---|---|
Élevée | 1 heure | 90 % |
Moyenne | 4 heures | 90 % |
Faible | 24 heures | 90 % |
L’incident est considéré comme résolu si des recommandations sur les mesures à prendre ont été remises au client.
*Le temps de réaction est le temps qui s’écoule entre la détection de l’incident (heure de sa création) et la publication de celui-ci sur la Console MDR en ligne (heure de la mise à jour).
**Valeur cible — le pourcentage d’incidents pour lequel le temps de réaction atteint l’objectif indiqué dans le tableau.