Effectuer une revue post-incident basée sur un questionnaire

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Vous pouvez décider qu’un examen post-incident de l’incident de sécurité est justifié. Une revue post-incident décrit ce qui s’est passé, aide à déterminer pourquoi l’incident s’est produit et identifie comment il peut être évité ou géré à l’avenir.

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.manager, sn_si.analyst
    Remarque :
    Quel que soit son rôle, tout utilisateur peut participer à un questionnaire de revue post-incident. Les rôles peuvent être affectés à une révision.

    Pourquoi et quand exécuter cette tâche

    L’application ServiceNow Réponse aux incidents de sécurité peut automatiser la collecte d’informations de revue post-incident auprès de toutes les personnes impliquées dans un incident de sécurité à l’aide de questionnaires. Si vous décidez d’utiliser un questionnaire dans le cadre d’une revue post-incident, une liste de questions pertinentes pour l’incident de sécurité est envoyée à la liste des participants définie par l’utilisateur. Au fur et à mesure que chaque utilisateur termine le questionnaire, le rapport post-incident est généré automatiquement. Le rapport compile toutes les informations relatives à l’incident de sécurité, ainsi que toutes les réponses à la revue post-incident.

    Une liste initiale de questions est fournie avec le système de base, mais elle est personnalisable. Vous pouvez créer des catégories et y ajouter de nouvelles questions, ou vous pouvez modifier des questions individuelles dans des catégories existantes. Vous pouvez poser des questions en fonction des rôles. Vous pouvez définir quand certaines questions sont posées. Vous pouvez poser des questions uniquement pour vos serveurs UNIX, par exemple, ou uniquement en cas d’activité criminelle. Vous pouvez définir les questions posées en fonction de la réponse à une autre question ou de la valeur d’un champ du formulaire. Il peut même y avoir des questions qui sont entièrement remplies en interrogeant la base de données.

    Une fois l’incident de sécurité résolu et passé à l’état Examen , des évaluations sont générées pour tous les utilisateurs affectés et les utilisateurs directement ajoutés à partir de la liste d’évaluation des demandes .

    Le questionnaire peut être un outil utile pour recueillir des informations sur la gestion de l’incident de sécurité à partir de diverses sources.

    Au cours de la révision, vous pouvez ajouter d’autres utilisateurs à la liste ou supprimer des utilisateurs existants de la liste, à moins qu’ils n’aient déjà commencé à remplir le questionnaire. Si vous ajoutez de nouveaux utilisateurs à la liste, ils reçoivent les questions lors de l’enregistrement enregistré. L’incident de sécurité ne peut pas être fermé tant que tous les questionnaires n’ont pas été remplis. Au fur et à mesure que les questionnaires sont remplis par chaque utilisateur, le rapport post-incident est automatiquement généré (et régénéré) et affiché dans l’onglet Revue post-incident .

    Pour commencer une revue post-incident :

    Procédure

    1. Créez un incident de sécurité ou ouvrez-en un existant en accédant à Incident de sécurité > Incidents > Affecté à moi-même (ou affecté à une équipe ou à des incidents non affectés).
    2. Cliquez sur l’onglet Revue post-incident .
    3. Par défaut, le champ Évaluations de la demande indique la personne dans le champ Affecté à .
      Cliquez sur l’icône de verrou pour ajouter d’autres utilisateurs à la liste de révision. Une fois le champ déverrouillé, des options sont disponibles pour ajouter ou supprimer plusieurs utilisateurs et rôles, ou pour saisir des adresses e-mail d’utilisateurs.
    4. Lorsque vous avez terminé vos entrées, cliquez sur l’icône de verrou pour verrouiller le champ.
      Remarque :
      Vous pouvez également définir les conditions qui, lorsqu’elles sont réunies dans un incident de sécurité, peuvent entraîner l’ajout automatique d’utilisateurs spécifiques au champ Évaluations des demandes pour cet incident de sécurité. Par exemple, lorsqu’une catégorie d’incident de sécurité est changée en Hameçonnage, des personnes spécifiques qui ont une expertise en matière de menaces d’hameçonnage peuvent être ajoutées à la liste de revue post-incident. Pour plus d'informations, consultez Créer des règles d’affectation PIR.
    5. Cliquez sur Mettre à jour.
      Lorsque l’incident passe à l’état d’examen (ou immédiatement, s’il est déjà à l’état d’examen ), chacun des utilisateurs de la liste d’examen reçoit une notification initiale par e-mail. Des rappels sont envoyés à l’approche de la date d’échéance. Lorsque chaque utilisateur accède au questionnaire à partir du lien par e-mail ou en accédant à Revue post-incident > Mes vérifications en attente, les questions affichées sont tirées de toutes les catégories qui correspondent à cet incident de sécurité. Si de nouveaux utilisateurs sont ajoutés à la liste de révision avant la date d’échéance, ils reçoivent des notifications lorsque l’incident de sécurité est enregistré.

      Au fur et à mesure que les utilisateurs terminent leurs questionnaires, le rapport post-incident compile les données et affiche le rapport dans l’onglet Revue post-incident . Les données du questionnaire sont affichées dans l’onglet Résultats .