Effectuer une revue post-incident basée sur un questionnaire

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Vous pouvez décider qu’un examen post-incident de l’incident de sécurité est justifié. Une revue post-incident décrit ce qui s’est passé, permet de déterminer pourquoi l’incident s’est produit et identifie comment il peut être évité ou géré à l’avenir.

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.manager, sn_si.analyst
    Remarque :
    Quel que soit son rôle, tous les utilisateurs peuvent participer à un questionnaire d’examen post-incident. Les rôles peuvent être affectés à une révision.

    Pourquoi et quand exécuter cette tâche

    L’application ServiceNow Réponse aux incidents de sécurité peut automatiser la collecte d’informations de revue post-incident auprès de toutes les personnes impliquées dans un incident de sécurité à l’aide de questionnaires. Si vous décidez d’utiliser un questionnaire dans le cadre d’un examen post-incident, une liste de questions, pertinentes pour l’incident de sécurité, est envoyée à la liste des participants définie par l’utilisateur. Le rapport post-incident est généré automatiquement à chaque utilisateur. Le rapport compile toutes les informations relatives à l’incident de sécurité, ainsi que toutes les réponses à l’examen post-incident.

    Bien qu’une liste initiale de questions soit fournie avec le système de base, elles sont personnalisables. Vous pouvez créer des catégories et y ajouter de nouvelles questions, ou modifier des questions individuelles dans des catégories existantes. Vous pouvez poser des questions en fonction des rôles. Vous pouvez définir à quel moment certaines questions sont posées. Il peut y avoir des questions que vous posez uniquement pour vos serveurs UNIX, par exemple, ou uniquement lorsqu’il y a une activité criminelle. Vous pouvez définir des questions qui sont posées en fonction de la réponse à une autre question ou de la valeur d’un champ du formulaire. Il peut même y avoir des questions qui sont entièrement remplies en interrogeant la base de données.

    Une fois l’incident de sécurité résolu et passé à l’état Réviser , des évaluations sont générées pour tous les utilisateurs affectés et les utilisateurs qui sont directement ajoutés à partir de la liste d’évaluation des demandes .

    Le questionnaire peut être un outil utile pour recueillir des informations sur la gestion de l’incident de sécurité à partir de diverses sources.

    Au cours de l’examen, vous pouvez ajouter d’autres utilisateurs à la liste ou supprimer des utilisateurs existants de la liste, à moins qu’ils aient déjà commencé à remplir le questionnaire. Si vous ajoutez de nouveaux utilisateurs à la liste, ils recevront les questions lorsque l’enregistrement sera enregistré. L’incident de sécurité ne peut pas être fermé tant que tous les questionnaires n’ont pas été remplis. Au fur et à mesure que les questionnaires sont remplis par chaque utilisateur, le rapport post-incident est automatiquement généré (et régénéré) et affiché dans l’onglet Revue post-incident .

    Pour commencer une revue post-incident :

    Procédure

    1. Créez un incident de sécurité ou ouvrez un incident existant en accédant à Incident de sécurité > Incidents > Affectés à moi (ou affectés à l’équipe ou incidents non affectés).
    2. Cliquez sur l’onglet Post Incident Review (Revue post-incident ).
    3. Le champ Évaluations des demandes est défini par défaut sur la personne dans le champ Affecté à .
      Cliquez sur l’icône de verrou pour ajouter d’autres utilisateurs à la liste de révision. Une fois le champ déverrouillé, des options sont disponibles pour ajouter ou supprimer plusieurs utilisateurs ou rôles ou pour saisir des adresses e-mail d’utilisateur.
    4. Lorsque vous avez terminé vos saisies, cliquez sur l’icône de verrou pour verrouiller le champ.
      Remarque :
      Vous pouvez également définir des conditions qui, lorsqu’elles sont remplies dans un incident de sécurité, peuvent entraîner l’ajout automatique d’utilisateurs spécifiques au champ Évaluations des demandes pour cet incident de sécurité. Par exemple, lorsqu’une catégorie d’incident de sécurité est changée en Hameçonnage, des personnes spécifiques ayant une expertise dans les menaces de hameçonnage peuvent être ajoutées à la liste de revue post-incident. Pour plus d'informations, consultez Créer des règles d’affectation PIR.
    5. Cliquez sur Mettre à jour.
      Lorsque l’incident passe à l’état Examiner (ou immédiatement, s’il est déjà à l’état Réviser ), chacun des utilisateurs de la liste d’examen reçoit une première notification par e-mail. Les rappels sont envoyés à l’approche de la date d’échéance. Lorsque chaque utilisateur accède au questionnaire à partir du lien de l’e-mail ou en accédant à Revue post-incident > Mes vérifications en attente, les questions affichées sont tirées de toutes les catégories correspondant à cet incident de sécurité. Si de nouveaux utilisateurs sont ajoutés à la liste d’examen avant que la date d’échéance ne soit atteinte, ils reçoivent des notifications lorsque l’incident de sécurité est enregistré.

      Au fur et à mesure que les utilisateurs remplissent leurs questionnaires, le rapport post-incident compile les données et affiche le rapport dans l’onglet Examen post-incident . Les données du questionnaire sont affichées dans l’onglet Résultats .