Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Valider, définir et évaluer l'impact de l'alerte
Au cours de la phase d'analyse, une analyse complète des journaux est effectuée dans le but de valider les alertes, de définir la portée et d'évaluer l'impact d'une éventuelle compromission.
-
La validation de l'alerte est le point d'entrée de la phase d'analyse. Les intervenants en cas d'incident rechercheront des entrées de journal provenant de diverses sources et dialogueront directement avec les responsables de la charge de travail concernée.
-
Le cadrage est l'étape suivante, lorsque toutes les ressources impliquées sont inventoriées et que la criticité des alertes est ajustée une fois que les parties prenantes ont convenu qu'il est peu probable qu'il s'agisse d'un faux positif.
-
Enfin, l'analyse d'impact détaille l'interruption réelle de l'activité.
Une fois que les composants de la charge de travail concernés sont identifiés, les résultats du cadrage peuvent être corrélés à l'objectif de point de reprise (RPO) et à l'objectif de temps de restauration (RTO) de la charge de travail correspondante, en ajustant la criticité des alertes, ce qui déclenchera l'allocation des ressources et toutes les activités suivantes. Tous les incidents ne perturberont pas directement le fonctionnement d'une charge de travail supportant un processus métier. Les incidents tels que la divulgation de données sensibles, le vol de propriété intellectuelle ou le détournement de ressources (comme dans le cas du minage de cryptomonnaies) peuvent ne pas arrêter ou affaiblir un processus métier immédiatement, mais peuvent avoir des conséquences ultérieurement.
