Rapport d’examen post-incident

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 9 minutes de lecture

    • La fonctionnalité Rapports de revue post-incident (PIR) vous permet de configurer et de télécharger les rapports de revue post-incident à l’aide de l’onglet Revue post-incident.

    L’administrateur de sécurité peut créer et configurer les modèles de rapport, ainsi que les mapper à l’incident de sécurité à l’aide de la configuration du rapport. Un analyste de sécurité peut ensuite afficher ou télécharger le rapport une fois l’incident de sécurité résolu et l’état mis à jour sur l’état Réviser.

    Un rapport PDF est généré et joint à l’incident de sécurité lorsque l’incident passe à l’état Fermé après une configuration réussie.
    Remarque :
    La fonctionnalité de rapports est applicable et prise en charge à partir du correctif 9 d’Orlando.
    Pour personnaliser vos rapports de revue post-incident, vous devez procéder à la configuration suivante.
    1. Modèles de rapport : personnalisez et configurez les fonctionnalités de modèle de rapport suivantes pour ajouter des informations supplémentaires au rapport :
      1. Chronologie
      2. Marques
      3. Scripts de modèle
    2. Configuration du rapport

    Cette section décrit la procédure de configuration :

    Modèles de rapports

    Utilisez la section Modèles de rapport pour créer des modèles de rapport primaires et supplémentaires qui sont appliqués aux incidents de sécurité afin de générer le rapport de revue post-incident. Vous pouvez formater et configurer le rapport en fonction de vos besoins. Les modèles vous aident également à inclure les détails de l’évaluation dans le modèle.

    Voici quelques étapes facultatives qui peuvent être effectuées lors de la création du modèle :
    1. Configuration des informations de personnalisation.
    2. Configuration du format de page et de la marge de page.
    3. Ajout de champs liés à un incident de sécurité (à la fois personnalisés et standard).
    4. En utilisant les jetons personnalisés prédéfinis suivants :
      1. $sessionUser: renvoie le nom d’utilisateur connecté
      2. $date: renvoie la date du jour
      3. $if_not_null_start & $if_not_null_end: si ces balises sont utilisées contre des champs, les balises ne s’affichent que si la valeur existe. Par exemple :
        • ${if_not_null_start:problem}
        • Problem Category: ${problem.category}
        • ${if_not_null_end:problem}
    5. Inclusion des données de liste connexe à l’aide des scripts de modèle. Pour plus d’informations, consultez la section ci-dessous sur les scripts de modèle.
    6. Inclure les informations de chronologie à l’aide des filtres de chronologie. Pour plus d’informations, consultez la section ci-dessous sur la chronologie.
    7. Gestion et mise en forme du contenu du modèle, notamment les pièces jointes, les tables et les images.
    Remarque :
    Les fonctionnalités améliorées de la barre d’outils du modèle de rapport ne sont disponibles qu’à partir de la version Paris.
    Points clés des modèles de rapport :
    1. les images jointes au modèle de rapport ne sont affichées dans le rapport de revue post-incident que lorsqu’elles sont incluses dans la table de sys_attachment.
      Remarque :
      Les images sélectionnées dans la table de db_image ne s’afficheront pas dans le rapport de revue post-incident.
    2. Les vidéos ne sont pas prises en charge dans le rapport de revue post-incident.
    3. Les URL du PDF ne sont pas cliquables. Pour activer les URL non cliquables (.), (.) est indiqué par (point).
    4. Le rapport n’est pas généré si la taille du modèle de rapport dépasse 50 Mo.
    5. La famille de polices sélectionnée pour le contenu du modèle de rapport ne sera pas appliquée au PDF si elle n’est pas prise en charge par le générateur PDF.
      Remarque :
      Si la police correspondante n’est pas là, le générateur de PDF identifiera la police alternative la plus proche, puis générera le PDF.
    6. Si vous fournissez des valeurs de marge de page plus élevées, la génération d’un rapport de revue post-incident échoue. Par exemple, les marges supérieure et inférieure > 450 et les marges gauche et droite > 450.
    7. Si un texte de grande taille est inclus dans le modèle de rapport sans espace, le texte peut être tronqué. Prévisualisez le texte et modifiez-le en conséquence.

    L’administrateur de sécurité peut prévisualiser le rapport à l’aide du bouton Afficher un aperçu du rapport disponible sur la page Modèle de rapport.

    Remarque :

    Sélectionnez un incident de sécurité pour prévisualiser un rapport avec cette option de modèle, puis cliquez sur Afficher un aperçu du rapport.

    Marques

    Vous pouvez ajouter le nom du modèle de marque, l’image d’en-tête et de pied de page, le texte d’en-tête et de pied de page, générer des numéros de page et inclure l’enregistrement de la marque dans le modèle de rapport après sa création.

    Voici un exemple de format de rapport de personnalisation :

    Points clés de la personnalisation du modèle de rapport :
    1. La taille maximale autorisée pour les images d’en-tête et de pied de page est de 5 Mo. Si la taille dépasse la limite spécifiée, un message d’erreur « Le format d’image ne peut pas être reconnu » s’affiche dans l’incident de sécurité.
    2. La longueur du texte du pied de page est limitée à 100 caractères.
      1. Si le texte de l’image de pied de page et le contenu du rapport se chevauchent lors de l’aperçu, vous devez apporter des modifications à l’enregistrement de marque.
      2. Si le texte du pied de page contient un lien URL, il est possible qu’il chevauche l’image du pied de page. Prévisualisez-le et corrigez-le au besoin.

    Chronologie

    La configuration de la chronologie vous permet de créer et de modifier les filtres de chronologie selon vos besoins. Vous pouvez filtrer les types d’activités qui doivent être inclus dans le rapport, configurer si les tâches enfants doivent être incluses ou exclues dans le rapport, et configurer si les images doivent être incluses ou exclues dans le rapport.

    Si vous souhaitez utiliser et remplir n’importe quelle configuration de chronologie, vous devez ajouter la balise comme mentionné ci-dessous : ${timeline:timeline name}. À titre d’exemple, deux exemples de configurations de chronologie sont fournis dans la configuration, qui sont utilisés dans le modèle de rapport d’hameçonnage et le modèle de rapport par défaut. Vous pouvez modifier et réutiliser les configurations.

    Scripts de modèle

    Utilisez les scripts de modèle pour inclure les données des listes connexes, la date et l’horodatage, ainsi que toutes les autres données qui ne sont pas directement accessibles par une remontée pas à pas. Voici un exemple :

    Construire un script de modèle pour afficher la liste connexe sur le modèle de rapport :
    1. Pour préparer les données de liste connexe, appelez la méthode PostIncidentReportUtils.fetchRelatedListDataForReport.
    2. Pour représenter les données de l’étape 1 dans le format et le style de table, appelez la méthode ReportTemplateUtil.constructTablefunction.

    Si vous souhaitez utiliser et remplir un script de modèle, vous devez ajouter la balise du script de modèle de balise au format ${template_script:script name}.

    Voici quelques exemples de scripts de modèle fournis pour configurer et modifier vos rapports post-incident.
    Nom de script Description
    formatted_current_date Renvoie la date et l’heure locales actuelles au format JJMMAAA 00h00 AM ou PM. Par exemple, 21 janv. 2021 15 :51 PST.
    si_affected_users Renvoie les utilisateurs affectés de la liste connexe sous forme de tableau.
    si_assessments Renvoie les résultats de l’évaluation post-incident sous forme de tableau.
    si_associated_phish_emails Renvoie les e-mails d’hameçonnage associés à partir de la liste connexe sous forme de tableau.
    si_associated_phish_headers Renvoie les en-têtes d’hameçonnage associés à partir de la liste connexe sous forme de tableau.
    si_business_criticality Renvoie une valeur de criticité opérationnelle codée par couleur.
    si_malicious_observables Renvoie les observables malveillants de la liste connexe sous forme de tableau.
    si_observables Renvoie les observables de la liste connexe sous forme de tableau.
    si_priority Renvoie la valeur de priorité codée par couleur.
    si_response_tasks Renvoie les tâches de réponse de la liste connexe sous forme de tableau.
    si_time_to_identify Renvoie la durée passée à l’état Brouillon et Analyse.
    si_time_to_resolve Renvoie l’heure de résolution de l’incident.
    Points clés des scripts de modèle de rapport :
    1. Si une liste connexe de plus de 5 colonnes est ajoutée, les données de table sont tronquées lors de la génération du PDF. La largeur minimale de chaque colonne est définie sur 124 px.
    2. Si un script de modèle ne parvient pas à charger le contenu du modèle de rapport en raison de problèmes techniques, un message d’erreur s’affiche sur le rapport : « Erreur lors de l’évaluation du script de modèle » et l’administrateur de sécurité doit évaluer l’exactitude du script pour résoudre le problème.
    3. si_assessments : Par défaut, toutes les catégories d’évaluation sont ajoutées au rapport. L’administrateur de sécurité peut filtrer les données en modifiant le script de modèle selon les besoins. Ajoutez le categories: sys_id1,  sys_id2; paramètre pour filtrer les données.
    4. Délai de résolution et délai d’identification des scripts : utilisez les enregistrements de définition qui font partie de la liste connexe des mesures. Si les enregistrements de définition ne sont pas disponibles pour l’incident de sécurité, créez ou ajoutez ces enregistrements de définition pour remplir les valeurs des deux champs.
    Remarque :

    Par défaut, l’administrateur de sécurité n’a pas accès à l’affichage des enregistrements de version des tables. Vous devez ajouter un rôle administrateur pour accéder aux enregistrements de version et revenir à la version précédente.

    Configuration du rapport

    Utilisez la section Configuration du rapport pour configurer les conditions et appliquer les modèles de rapport aux incidents de sécurité. Vous pouvez ajouter un rapport primaire et un ou plusieurs modèles de rapport supplémentaires à la même condition.

    Voici un exemple de condition fournie pour appliquer le modèle de rapport d’hameçonnage aux incidents de catégorie d’hameçonnage et l’autre condition pour appliquer le modèle de rapport par défaut à tous les incidents de sécurité. Le modèle de rapport par défaut sera appliqué aux incidents de sécurité si les conditions ne sont pas remplies.

    Procédure pour désactiver la nouvelle implémentation

    1. Désactivez les règles métier suivantes :
      1. Générer un PDF PIR
      2. Créer un article de base de connaissances sur la fermeture Nouveau
    2. Activez les règles métier suivantes :
      1. Générer une PIR lors de l’examen et de la fermeture
      2. Créer un article de base de connaissances à la fermeture
      3. [Régénérer PIR à la fermeture/annuler/supprimer]
    3. Activez la règle d’interface utilisateur, Hide PIR field when empty.
    4. Accédez à la mise en page du formulaire d’incident de sécurité. Dans la section Revue post-incident :
      1. Supprimer le sélecteur de rapport PIR de la section PIR
      2. Ajouter le champ Rapport post-incident à la section PIR

    Configurer les propriétés du rapport de revue post-incident (PIR) pour les incidents de sécurité enfants

    Vous pouvez configurer les deux propriétés de rapport PIR suivantes pour les incidents de sécurité enfants :
    • sn_si.generate_pir_report_for_child_si
    • sn_si.include_child_si_timeline_in_pir
    Remarque :
    Les utilisateurs disposant du rôle d’administrateur système [admin] peuvent afficher les propriétés. Les utilisateurs disposant du rôle d’administrateur de sécurité [sn_si.admin] peuvent les modifier.
    Tableau 1. Configurer les propriétés du rapport PIR pour les incidents de sécurité enfants
    Propriété Utilisation
    sn_si.generate_pir_report_for_child_si Option permettant d’activer la génération de rapports de revue post-incident (PIR) pour les incidents de sécurité enfants.
    • Type : vrai | faux
    • Valeur par défaut : faux
    • Emplacement : accédez à Toutes les propriétés système > > Toutes les propriétés.
    sn_si.include_child_si_timeline_in_pir Option permettant d’inclure la chronologie des incidents de sécurité enfants dans le rapport PIR de l’incident de sécurité parent.
    • Type : vrai | faux
    • Valeur par défaut : faux
    • Emplacement : accédez à Toutes les propriétés système > > Toutes les propriétés.