Créer des demandes utilisateur

Compatible avec :

Ce document explique comment créer un modèle de demande et présente le flux de bout en bout, depuis l'envoi d'une demande par un utilisateur jusqu'au traitement automatique de la demande par un playbook.

Vous pouvez définir des requêtes que les utilisateurs finaux peuvent sélectionner directement sur la page d'accueil. Ces demandes servent de système de demandes interne, permettant à différentes équipes (comme l'équipe informatique et le SOC) ou à un fournisseur de services de sécurité gérés (MSSP) et à un utilisateur final de communiquer plus efficacement.

Chaque demande peut être traitée de deux manières :

  • Manuellement par un analyste
  • Automatiquement par un playbook, ce qui simplifie l'ensemble du processus

Vous pouvez définir des requêtes que les utilisateurs peuvent sélectionner sur la page d'accueil. Un analyste peut traiter chaque demande manuellement ou un playbook peut les automatiser, la plate-forme servant de système de tickets interne. Chaque demande est enregistrée sur la plate-forme sous la forme d'une requête portant le libellé Demande.

Voici quelques exemples de ce type de demandes :

  • Bloquer les adresses IP malveillantes
  • Optimiser les règles SIEM
  • Intégrer un nouvel utilisateur

Ce document explique comment créer un modèle de requête et présente le flux de bout en bout.

Ajouter des autorisations pour les utilisateurs internes

Pour ce cas d'utilisation, nous vous recommandons de planifier les requêtes à automatiser, puis de créer le playbook correspondant.

Définir une demande

Pour définir une demande d'autorisations Salesforce :

  1. Accédez à Paramètres> Environnements> Demandes.
  2. Cliquez sur add Add Requests (Ajouter des demandes).
  3. Dans la boîte de dialogue Add Request Flow (Ajouter un flux de requête), saisissez un nom logique et sélectionnez un environnement.
  4. Sélectionnez un type de demande. Cette catégorie détermine les entités qui s'affichent dans la liste Champs d'événement. Dans ce cas d'utilisation, sélectionnez le type de demande Connexion.
  5. Les champs d'événement permettent à la plate-forme de reconnaître la demande de requête entrante et d'effectuer le mappage et la modélisation appropriés en arrière-plan.
  6. Dans la section Champs d'événement, saisissez manuellement un nom de champ, puis sélectionnez le type de champ (par exemple, email ou string).
  7. Dans le champ Filigrane, ajoutez une instruction pour le demandeur.
  8. Dans la liste Champ d'événement brut, vous pouvez choisir d'utiliser un champ d'événement pour importer un événement brut ou utiliser des entités que vous pourrez utiliser ultérieurement dans les playbooks. Cet exemple utilise les entités Username et SourceUserName.
  9. Cliquez sur Ajouter.

Créer un playbook

La procédure suivante montre comment créer un playbook qui s'exécute automatiquement lorsqu'une nouvelle demande d'assistance est envoyée sur la plate-forme :

  1. Créez un playbook avec un nom et un environnement appropriés.
  2. Sélectionnez Déclencheur de type d'alerte, définissez la condition sur Égal à et la valeur sur le modèle de demande que vous avez créé. (dans ce cas, Approbations d'autorisation Salesforce).
  3. Ajoutez le répertoire actif Enrichir les entités pour obtenir plus d'informations sur l'utilisateur.
  4. Ajoutez l'action Active Directory : ajouter un utilisateur à un groupe et définissez les paramètres suivants :
    • Type d'action : Manuel : le playbook cesse de s'exécuter et attend d'autres instructions.
    • Attribuer à : Administrateur : attribuez l'étape à un utilisateur spécifique ou à un rôle SOC, tel qu'Administrateur. L'action en attente s'affiche ensuite sur la page d'accueil et dans la vue de la demande.
    • Message à la personne responsable : ce message s'affiche dans les détails de l'action en attente. Par exemple, saisissez Veuillez approuver ou refuser l'autorisation pour l'utilisateur [Entity.Identifier] d'accéder au groupe Salesforce.
    • Délai de réponse : activez ce minuteur et accordez un jour à l'utilisateur désigné pour répondre.
  5. Ajoutez l'action Siemplify Close Case (Clôturer la demande Siemplify). Cette action ferme le playbook une fois que l'administrateur a approuvé ou refusé la demande.

La demande est désormais créée avec le playbook correspondant.

Approuver la demande

L'utilisateur choisit une demande. Pour en savoir plus, consultez Envoyer une demande depuis Votre bureau. Une fois qu'un utilisateur a sélectionné une demande, celle-ci est enregistrée dans le système en tant que demande. Le playbook attend ensuite la saisie de l'administrateur pour continuer.

Vous pouvez voir la demande en attente et l'approuver à trois endroits différents de la plate-forme :

  • Demandes : sous l'alerte concernée, cliquez sur l'onglet Playbooks, puis sur Exécuter dans le panneau latéral pour approuver la demande.
  • Requêtes > Vue d'ensemble : cliquez sur Exécuter dans le widget approprié.
  • Page d'accueil : cliquez sur l'onglet Actions en attente, sélectionnez Action en attente requise, puis cliquez sur Exécuter pour approuver la demande.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.