Überprüfungsbericht nach Incident

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 7 Minuten Lesedauer

    • Mit der Funktion „Post Incident Review“ (PIR) können Sie die Überprüfungsberichte nach Incidents über die Registerkarte „Post Incident Review“ einrichten und herunterladen.

    Der Sicherheitsadministrator kann die Berichtsvorlagen erstellen und konfigurieren und diese Vorlagen mithilfe der Berichtskonfiguration dem Security Incident zuordnen. Ein Sicherheitsanalyst kann den Bericht anzeigen oder herunterladen, nachdem der Security Incident gelöst und der Status auf den Status Überprüfen aktualisiert wurde.

    Ein PDF-Bericht wird generiert und an den Security Incident angehängt, wenn der Incident nach erfolgreicher Konfiguration in den Status „Geschlossen“ verschoben wird.
    Hinweis:
    Die Berichtsfunktion ist ab Orlando Patch9 anwendbar und wird unterstützt.
    Um Ihre Überprüfungsberichte nach Incidents anzupassen, müssen Sie die folgende Konfiguration vornehmen.
    1. Berichtsvorlagen: Passen Sie die folgenden Berichtsvorlagenfunktionen an und konfigurieren Sie sie, um dem Bericht zusätzliche Informationen hinzuzufügen:
      1. Zeitleiste
      2. Branding
      3. Vorlagenskripts
    2. Berichtkonfiguration

    In diesem Abschnitt wird das Konfigurationsverfahren beschrieben:

    Berichtsvorlagen

    Verwenden Sie den Abschnitt „Berichtsvorlagen“, um primäre und zusätzliche Berichtsvorlagen zu erstellen, die auf die Security Incidents angewendet werden, um den Bericht zur Überprüfung nach Incidents zu generieren. Sie können den Bericht entsprechend Ihren Anforderungen formatieren und konfigurieren. Die Vorlagen helfen Ihnen auch, die Bewertungsdetails in die Vorlage aufzunehmen.

    Im Folgenden sind einige optionale Schritte aufgeführt, die beim Erstellen der Vorlage ausgeführt werden können:
    1. Branding-Informationen konfigurieren
    2. Seitengröße und Seitenrand einrichten.
    3. Hinzufügen von Security Incident-bezogenen Feldern (sowohl benutzerdefiniert als auch standardmäßig).
    4. Verwendung der folgenden vordefinierten benutzerdefinierten Token:
      1. $sessionUser: gibt den angemeldeten Benutzernamen zurück
      2. $date: Gibt das aktuelle Datum zurück
      3. $if_not_null_start & $if_not_null_end: Wenn diese Tags für Felder verwendet werden, werden die Tags nur angezeigt, wenn der Wert vorhanden ist. Beispiel:
        • ${if_not_null_start:problem}
        • Problem Category: ${problem.category}
        • ${if_not_null_end:problem}
    5. Einschließlich der zugehörigen Listendaten mithilfe der Vorlagenskripts. Weitere Informationen finden Sie im folgenden Abschnitt über Vorlagenskripts.
    6. Einschließlich der Zeitleisteninformationen mithilfe der Zeitleistenfilter. Weitere Informationen finden Sie im folgenden Abschnitt zur Zeitleiste.
    7. Verwalten und Formatieren des Vorlageninhalts wie Anhänge, Tabellen und Bilder.
    Hinweis:
    Die erweiterten Funktionen der Symbolleiste für Berichtsvorlagen sind erst ab Release Paris verfügbar.
    Wichtige Punkte für Berichtsvorlagen:
    1. Die an die Berichtsvorlage angehängten Bilder werden im Bericht „Überprüfung nach Incident“ nur angezeigt, wenn sie in der Tabelle „sys_attachment“ enthalten sind.
      Hinweis:
      Bilder, die aus der Tabelle „db_image“ ausgewählt wurden, werden nicht im Überprüfungsbericht nach Incident angezeigt.
    2. Videos werden im Überprüfungsbericht nach Incident nicht unterstützt.
    3. Die URLs in der PDF-Datei können nicht angeklickt werden. Zum Aktivieren der nicht anklickbaren URLs (.) wird als (Punkt) bezeichnet.
    4. Der Bericht wird nicht generiert, wenn die Größe der Berichtsvorlage 50 MB überschreitet.
    5. Die für den Inhalt der Berichtsvorlage ausgewählte Schriftartfamilie wird nicht auf die PDF-Datei angewendet, wenn sie nicht vom PDF-Generator unterstützt wird.
      Hinweis:
      Wenn die entsprechende Schriftart nicht vorhanden ist, identifiziert der PDF-Generator die nächstliegende Schriftart und generiert dann die PDF-Datei.
    6. Wenn Sie höhere Seitenrandwerte angeben, ist das Generieren eines Überprüfungsberichts nach Incidents fehlgeschlagen. Beispiel: Oberer und unterer Rand > 450 und linker und rechter Rand > 450.
    7. Wenn ein großer Text in der Berichtsvorlage ohne Leerzeichen enthalten ist, wird der Text möglicherweise abgeschnitten. Zeigen Sie eine Vorschau des Texts an, und ändern Sie ihn entsprechend.

    Der Sicherheitsadministrator kann eine Vorschau des Berichts mithilfe der Schaltfläche Vorschaubericht anzeigen, die auf der Seite „Berichtsvorlage“ verfügbar ist.

    Hinweis:

    Wählen Sie einen Security Incident aus, um eine Vorschau eines Berichts mit dieser Vorlagenoption anzuzeigen, und klicken Sie auf Berichtvorschau.

    Branding

    Sie können den Namen der Branding-Vorlage, das Kopf- und Fußzeilenbild, den Kopf- und Fußzeilentext hinzufügen, Seitenzahlen generieren und den Branding-Datensatz nach der Erstellung in die Berichtsvorlage einfügen.

    Es folgt ein Beispiel für ein Branding-Berichtsformat:

    Wichtige Punkte für das Branding von Berichtsvorlagen:
    1. Die maximal zulässige Größe für Kopf- und Fußzeilenbilder beträgt 5 MB. Wenn die Größe den angegebenen Grenzwert überschreitet, wird im Security Incident die Fehlermeldung „Bildformat kann nicht erkannt werden“ angezeigt.
    2. Die Länge des Fußzeilentexts ist auf 100 Zeichen beschränkt.
      1. Wenn sich der Text des Fußzeilenbilds und der Berichtsinhalt während der Vorschau überschneiden, müssen Sie Änderungen am Branding-Datensatz vornehmen.
      2. Wenn der Fußzeilentext einen URL-Link enthält, kann er sich mit dem Fußzeilenbild überschneiden. Zeigen Sie eine Vorschau an, und korrigieren Sie sie nach Bedarf.

    Zeitleiste

    Mit der Zeitleistenkonfiguration können Sie die Zeitleistenfilter nach Bedarf erstellen und ändern. Sie können die Aktivitätstypen filtern, die in den Bericht aufgenommen werden sollen, konfigurieren, ob die untergeordneten Aufgaben in den Bericht aufgenommen oder ausgeschlossen werden sollen, und konfigurieren, ob die Bilder in den Bericht aufgenommen oder ausgeschlossen werden sollen.

    Wenn Sie eine Zeitleistenkonfiguration verwenden und ausfüllen möchten, müssen Sie das Tag wie unten beschrieben hinzufügen: ${timeline:timeline name}. Im Setup werden zwei Beispiel-Zeitleistenkonfigurationen bereitgestellt, die in der Phishing-Berichtsvorlage und der Standardberichtsvorlage verwendet werden. Sie können die Konfigurationen ändern und wiederverwenden.

    Vorlagenskripts

    Verwenden Sie die Vorlagenskripts, um die zugehörigen Listendaten, den Datums- und Zeitstempel und alle anderen Daten einzubeziehen, die nicht direkt Dot-Walk-fähig sind. Nachfolgend sehen Sie ein Beispiel:

    Erstellen Sie ein Vorlagenskript, um die zugehörige Liste in der Berichtsvorlage anzuzeigen:
    1. Um die zugehörigen Listendaten vorzubereiten, rufen Sie die Methode PostIncidentReportUtils.fetchRelatedListDataForReport auf.
    2. Um die Schritt-1-Daten im Tabellenformat und -stil darzustellen, rufen Sie die Methode ReportTemplateUtil.construTablefunction auf.

    Wenn Sie ein Vorlagenskript verwenden und ausfüllen möchten, müssen Sie das Tag-Vorlagenskript-Tag als ${template_script:script name}hinzufügen.

    Im Folgenden finden Sie einige Beispielvorlagenskripts zum Konfigurieren und Ändern Ihrer Nachfolgeberichte zu Incidents.
    Skriptname Beschreibung
    formatted_current_date Gibt das aktuelle lokale Datum und die aktuelle Uhrzeit im Format TTMMJJJJ 00.00 AM oder PM zurück. Beispiel: 21. Januar 2021 15:51 PST.
    si_affected_users Gibt die betroffenen Benutzer aus der zugehörigen Liste in tabellarischer Form zurück.
    si_assessments Gibt die Ergebnisse der Bewertung nach Incidents in Tabellenform zurück.
    si_associated_phish_emails Gibt die zugeordneten Phishing-E-Mails aus der zugehörigen Liste in Tabellenform zurück.
    si_associated_phish_headers Gibt die zugeordneten Phishing-Header aus der zugehörigen Liste in Tabellenform zurück.
    si_business_criticality Gibt den farbcodierten Geschäftsrelevanzwert zurück.
    si_malicious_observables Gibt die schädlichen erkennbaren Elemente aus der zugehörigen Liste in Tabellenform zurück.
    si_observables Gibt die erkennbaren Elemente aus der zugehörigen Liste in Tabellenform zurück.
    si_priority Gibt den farbcodierten Prioritätswert zurück.
    si_response_tasks Gibt die Antwortaufgaben aus der zugehörigen Liste in Tabellenform zurück.
    si_time_to_identify Gibt die Dauer zurück, die im Status „Entwurf“ und „Analyse“ verbracht wurde.
    si_time_to_resolve Gibt die Zeit bis zur Lösung des Incident zurück.
    Berichtsvorlagenskripts – wichtige Punkte:
    1. Wenn eine zugehörige Liste mit mehr als 5 Spalten hinzugefügt wird, werden die Tabellendaten während der PDF-Erstellung abgeschnitten. Die Mindestbreite jeder Spalte ist auf 124 Pixel festgelegt.
    2. Wenn ein Vorlagenskript den Inhalt in der Berichtsvorlage aufgrund technischer Probleme nicht laden kann, wird im Bericht die Fehlermeldung „Fehler beim Auswerten des Vorlagenskripts“ angezeigt, und der Sicherheitsadministrator muss die Richtigkeit des Skripts bewerten, um das Problem zu beheben Problem.
    3. si_assessments: Standardmäßig werden dem Bericht alle Bewertungskategorien hinzugefügt. Der Sicherheitsadministrator kann die Daten filtern, indem er das Vorlagenskript nach Bedarf ändert. Fügen Sie den Parameter categories: sys_id1,  sys_id2; hinzu, um die Daten zu filtern.
    4. Zeit bis zur Lösung und Zeit bis zum Identifizieren von Skripts: Verwenden Sie die Definitionsdatensätze, die Teil der zugehörigen Metrikliste sind. Wenn die Definitionsdatensätze für den Security Incident nicht verfügbar sind, erstellen oder fügen Sie diese Definitionsdatensätze hinzu, um die Werte für die beiden Felder auszufüllen.
    Hinweis:

    Standardmäßig hat der Sicherheitsadministrator keinen Zugriff zum Anzeigen der Versionsdatensätze einer Tabelle. Sie müssen die Administratorrolle hinzufügen, um auf die Versionsdatensätze zuzugreifen und die vorherige Version wiederherzustellen.

    Berichtkonfiguration

    Verwenden Sie den Abschnitt „Berichtskonfiguration“, um die Bedingungen einzurichten und die Berichtsvorlagen auf die Security Incidents anzuwenden. Sie können derselben Bedingung einen primären Bericht und eine oder mehrere zusätzliche Berichtsvorlagen hinzufügen.

    Im Folgenden finden Sie eine Beispielbedingung, die bereitgestellt wird, um die Phishing-Berichtsvorlage auf die Incidents der Phishing-Kategorie anzuwenden, und die andere, um die Standardberichtsvorlage auf alle Security Incidents anzuwenden. Die Standardberichtsvorlage wird auf die Security Incidents angewendet, wenn die Bedingungen nicht erfüllt sind.

    Verfahren zum Deaktivieren der neuen Implementierung

    1. Deaktivieren Sie die folgenden Geschäftsregeln:
      1. PIR-PDF generieren
      2. Wissen bei Abschluss neu erstellen
    2. Aktivieren Sie die folgenden Geschäftsregeln:
      1. Generiert PIR beim Überprüfen und Schließen
      2. Wissen beim Abschluss erstellen
      3. [PIR bei Abschluss/Stornierung/Löschen erneut generieren]
    3. Aktivieren Sie die UI-Regel Hide PIR field when empty.
    4. Wechseln Sie zum Formularlayout im Security Incident-Formular. Im Abschnitt „ Überprüfung nach Incident “:
      1. Entfernen Sie die PIR-Berichtsauswahl aus dem PIR-Abschnitt
      2. Fügen Sie dem PIR-Abschnitt das Feld „Nachfolgebericht zum Incident“ hinzu

    Konfigurieren Sie die Eigenschaften des PIR-Berichts (Post Incident Review) für untergeordnete Security Incidents

    Sie haben die Möglichkeit, die folgenden beiden PIR-Berichtseigenschaften für untergeordnete Security Incidents zu konfigurieren:
    • sn_si.generate_pir_report_for_child_si
    • sn_si.include_child_si_timeline_in_pir
    Hinweis:
    Benutzer mit der Rolle „Systemadministrator“ [admin] können die Eigenschaften anzeigen. Benutzer mit der Rolle „Sicherheitsadministrator“ [sn_si.admin] können sie ändern.
    Tabelle : 1. Konfigurieren Sie PIR-Berichtseigenschaften für untergeordnete Security Incidents
    Eigenschaft Verwendung
    sn_si.generate_pir_report_for_child_si Option zum Aktivieren der Generierung von PIR-Berichten (Post Incident Review) für untergeordnete Security Incidents.
    • Typ: true | false
    • Standardwert: false
    • Speicherort: Navigieren Sie zu Alle > Systemeigenschaften > Alle Eigenschaften.
    sn_si.include_child_si_timeline_in_pir Option, um die Zeitleiste der untergeordneten Security Incidents in den PIR-Bericht des übergeordneten Security Incidents aufzunehmen.
    • Typ: true | false
    • Standardwert: false
    • Speicherort: Navigieren Sie zu Alle > Systemeigenschaften > Alle Eigenschaften.