Rapport d'examen post-incident

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 8 minutes de lecture

    • La fonctionnalité de rapports de revue post-incident (PIR) vous permet de configurer et de télécharger des rapports de revue post-incident à l’aide de l’onglet Revue post-incident.

    L’administrateur de la sécurité peut créer et configurer les modèles de rapport et mapper ces modèles à l’incident de sécurité à l’aide de la configuration du rapport. Un analyste de sécurité peut ensuite afficher ou télécharger le rapport une fois l’incident de sécurité résolu et l’état mis à jour sur l’état Révision.

    Un rapport PDF est généré et joint à l’incident de sécurité lorsque l’incident passe à l’état Fermé après une configuration réussie.
    Remarque :
    La fonctionnalité de rapports est applicable et prise en charge à partir d’Orlando Patch9.
    Pour personnaliser vos rapports de revue post-incident, vous devez effectuer la configuration suivante.
    1. Modèles de rapports : personnalisez et configurez les fonctionnalités de modèles de rapports suivantes pour ajouter des informations supplémentaires au rapport :
      1. Chronologie
      2. Marques
      3. Scripts de modèle
    2. Configuration du rapport

    Cette section décrit la procédure de configuration :

    Modèles de rapports

    Utilisez la section Modèles de rapport pour créer des modèles de rapport primaires et supplémentaires qui sont appliqués aux incidents de sécurité en vue de générer le rapport de revue post-incident. Vous pouvez formater et configurer le rapport en fonction de vos besoins. Les modèles vous aident également à inclure les détails de l’évaluation dans le modèle.

    Voici quelques étapes facultatives qui peuvent être effectuées lors de la création du modèle :
    1. Configuration des informations de marque.
    2. Configuration de la taille et de la marge de la page.
    3. Ajout de champs liés aux incidents de sécurité (personnalisés et standard).
    4. Utilisation des jetons personnalisés prédéfinis suivants :
      1. $sessionUser: renvoie le nom d’utilisateur connecté
      2. $date: renvoie la date actuelle
      3. $if_not_null_start & $if_not_null_end: si ces balises sont utilisées sur des champs, elles ne s’affichent que si la valeur existe. Par exemple :
        • ${if_not_null_start:problem}
        • Problem Category: ${problem.category}
        • ${if_not_null_end:problem}
    5. Inclusion des données de la liste connexe à l’aide des scripts de modèle. Pour plus d’informations, consultez la section ci-dessous sur les scripts de modèle.
    6. Inclusion des informations de chronologie à l’aide des filtres de chronologie. Pour plus d’informations, consultez la section ci-dessous sur la chronologie.
    7. Gestion et mise en forme du contenu du modèle, notamment les pièces jointes, les tables et les images.
    Remarque :
    Les fonctionnalités améliorées de la barre d’outils du modèle de rapport ne sont disponibles qu’à partir de la version Paris.
    Points clés des modèles de rapports :
    1. Les images jointes au modèle de rapport ne sont affichées dans le rapport de revue post-incident que lorsqu’elles sont incluses dans la table sys_attachment.
      Remarque :
      Les images sélectionnées dans la table db_image ne s’afficheront pas dans le rapport d’examen post-incident.
    2. Les vidéos ne sont pas prises en charge dans le rapport de revue post-incident.
    3. Les URL dans le PDF ne sont pas cliquables. Pour activer les URL, les URL non cliquables (.) sont notées (point).
    4. Le rapport n’est pas généré si la taille du modèle de rapport dépasse 50 Mo.
    5. La famille de polices sélectionnée pour le contenu du modèle de rapport n’est pas appliquée au PDF si elle n’est pas prise en charge par le générateur de PDF.
      Remarque :
      Si la police correspondante n’est pas présente, le générateur PDF identifie la police alternative la plus proche, puis génère le PDF.
    6. Si vous fournissez des valeurs de marge de page plus élevées, la génération d’un rapport de revue post-incident a échoué. Par exemple, la marge supérieure et inférieure > 450 et la marge gauche et droite > 450.
    7. Si un texte de grande taille est inclus dans le modèle de rapport sans espace, le texte peut être tronqué. Prévisualisez le texte et modifiez-le en conséquence.

    L’administrateur de sécurité peut prévisualiser le rapport à l’aide du bouton Afficher un aperçu du rapport disponible sur la page Modèle de rapport.

    Remarque :

    Sélectionnez un incident de sécurité pour prévisualiser un rapport avec cette option de modèle, puis sélectionnez Afficher un aperçu du rapport.

    Marques

    Vous pouvez ajouter le nom du modèle de marques, l’image d’en-tête et de pied de page, le texte d’en-tête et de pied de page, générer des numéros de page et inclure l’enregistrement de marques dans le modèle de rapport après sa création.

    Voici un exemple de format de rapport de marque :

    Points clés de la personnalisation du modèle de rapport :
    1. La taille maximale autorisée pour l’image d’en-tête et de pied de page est de 5 Mo. Si la taille dépasse la limite spécifiée, un message d’erreur « Le format d’image ne peut pas être reconnu » s’affiche dans l’incident de sécurité.
    2. La longueur du texte de pied de page est limitée à 100 caractères.
      1. Si le texte de l’image de pied de page et le contenu du rapport se chevauchent lors de la prévisualisation, vous devez modifier l’enregistrement de marques.
      2. Si le texte du pied de page contient un lien URL, il peut chevaucher l’image du pied de page. Prévisualisez-le et corrigez-le selon vos besoins.

    Chronologie

    La configuration de la chronologie vous permet de créer et de modifier les filtres de chronologie selon vos besoins. Vous pouvez filtrer les types d’activités à inclure dans le rapport, configurer si les tâches enfants doivent être incluses ou exclues dans le rapport, et configurer si les images doivent être incluses ou exclues dans le rapport.

    Si vous souhaitez utiliser et remplir n’importe quelle configuration de chronologie, vous devez ajouter la balise comme indiqué ci-dessous : ${timeline:timeline name}. Deux exemples de configurations de chronologie à titre d’exemple sont fournis dans la configuration et sont utilisés dans le modèle de rapport d’hameçonnage et le modèle de rapport par défaut. Vous pouvez modifier et réutiliser les configurations.

    Scripts de modèle

    Utilisez les scripts de modèle pour inclure les données des listes connexes, l’horodatage et toutes les autres données qui ne sont pas directement accessibles par une remontée pas à pas. Voici un exemple :

    Construisez un script de modèle pour afficher la liste connexe sur un modèle de rapport :
    1. Pour préparer les données de la liste connexe, appelez la méthode PostIncidentReportUtils.fetchRelatedListDataForReport.
    2. Pour représenter les données step1 au format et dans le style de tableau, appelez la méthode ReportTemplateUtil.constructTablefunction.

    Si vous souhaitez utiliser et remplir n’importe quel script de modèle, vous devez ajouter la balise de script de modèle de balise en tant que ${template_script:script name}.

    Voici quelques exemples de scripts de modèle fournis pour configurer et modifier vos rapports post-incident.
    Tableau 1. Exemples de scripts de modèles
    Nom de script Description
    formatted_current_date Renvoie la date et l’heure locales actuelles au format JJMMYAA, 00,00 AM ou PM. Par exemple, 21 janv. 2021 15:51 PST.
    si_affected_users Renvoie les utilisateurs affectés de la liste connexe sous forme de tableau.
    si_assessments Renvoie les résultats de l’évaluation post-incident sous forme de tableau.
    si_associated_phish_emails Renvoie les e-mails d’hameçonnage associés de la liste connexe sous forme de tableau.
    si_associated_phish_headers Renvoie les en-têtes de hameçonnage associés de la liste connexe sous forme de tableau.
    si_business_criticality Renvoie une valeur de criticité opérationnelle codée par couleur.
    si_malicious_observables Renvoie les observables malveillants de la liste connexe sous forme de tableau.
    si_observables Renvoie les observables de la liste connexe sous forme de tableau.
    si_priority Renvoie une valeur de priorité codée par couleur.
    si_response_tasks Renvoie les tâches de réponse de la liste connexe sous forme de tableau.
    si_time_to_identify Renvoie la durée passée à l’état Brouillon et Analyse.
    si_time_to_resolve Renvoie l’heure de résolution de l’incident.
    Points clés des scripts de modèles de rapport :
    1. Si une liste connexe est ajoutée avec plus de cinq colonnes, les données de table sont tronquées lors de la génération du PDF. La largeur minimale de chaque colonne est définie sur 124 px.
    2. Si un script de modèle ne parvient pas à charger le contenu du modèle de rapport en raison de problèmes techniques, un message d’erreur s’affiche sur le rapport, « Erreur lors de l’évaluation du script de modèle » et l’administrateur de sécurité doit évaluer l’exactitude du script pour résoudre le problème.
    3. si_assessments : par défaut, toutes les catégories d’évaluation sont ajoutées au rapport. L’administrateur de sécurité peut filtrer les données en modifiant le script de modèle si nécessaire. Ajoutez le categories: sys_id1,  sys_id2; paramètre pour filtrer les données.
    4. Délai de résolution et temps d’identification des scripts : utilisez les enregistrements de définition qui font partie de la liste connexe des mesures. Si les enregistrements de définition ne sont pas disponibles pour l’incident de sécurité, créez-les ou ajoutez-les pour renseigner les valeurs des deux champs.
    Remarque :

    Par défaut, l’administrateur de sécurité n’a pas accès à l’affichage des enregistrements de version d’une table. Vous devez ajouter un rôle administrateur pour accéder aux enregistrements de version et revenir à la version précédente.

    Configuration du rapport

    Utilisez la section Configuration du rapport pour configurer les conditions et appliquer les modèles de rapport aux incidents de sécurité. Vous pouvez ajouter un rapport primaire et un ou plusieurs modèles de rapport supplémentaires à la même condition.

    Voici un exemple de condition fourni pour appliquer le modèle de rapport d’hameçonnage aux incidents de catégorie d’hameçonnage et l’autre pour appliquer le modèle de rapport par défaut à tous les incidents de sécurité. Le modèle de rapport par défaut sera appliqué aux incidents de sécurité si les conditions ne sont pas remplies.

    Procédure d’arrêt de la nouvelle implémentation

    1. Désactivez les règles métier suivantes :
      1. Générer un fichier PDF PIR
      2. Créer un article de base de connaissances à la fermeture Nouveau
    2. Activez les règles métier suivantes :
      1. Générer un PIR en cas d’examen et de fermeture
      2. Créer un article de base de connaissances à la fermeture
      3. [Régénérer le PIR sur la fermeture/l’annulation/la suppression]
    3. Activez la règle d’interface utilisateur, Hide PIR field when empty.
    4. Accédez à la mise en page du formulaire dans le formulaire d’incident de sécurité. Dans la section Revue post-incident :
      1. Supprimer le sélecteur de rapport PIR de la section PIR
      2. Ajouter le champ Rapport post-incident à la section PIR

    Configurer les propriétés du rapport de revue post-incident (PIR) pour les incidents de sécurité enfants

    Vous pouvez configurer les deux propriétés de rapport PIR suivantes pour les incidents de sécurité enfants :
    • sn_si. generate_pir_report_for_child_si
    • sn_si. include_child_si_timeline_in_pir
    Remarque :
    Les utilisateurs disposant du rôle administrateur [admin] peuvent afficher les propriétés. Les utilisateurs disposant du rôle d’administrateur de sécurité [sn_si.admin] peuvent les modifier.
    Tableau 2. Configurer les propriétés du rapport PIR pour les incidents de sécurité enfants
    Propriété Utilisation
    sn_si. generate_pir_report_for_child_si Option permettant d’activer la génération de rapports de revue post-incident (PIR) pour les incidents de sécurité enfants.
    • Type : vrai | faux
    • Valeur par défaut : faux
    • Emplacement : accédez à toutes les propriétés système > > toutes les propriétés.
    sn_si. include_child_si_timeline_in_pir Option permettant d’inclure la chronologie des incidents de sécurité enfants dans le rapport PIR de l’incident de sécurité parent.
    • Type : vrai | faux
    • Valeur par défaut : faux
    • Emplacement : accédez à toutes les propriétés système > > toutes les propriétés.