Bericht zur Überprüfung nach Incident

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 7 Minuten Lesedauer

    • Mit der Funktion zur Überprüfung nach Incidents (PIR) können Sie die Berichte zur Überprüfung nach Incidents über die Registerkarte Überprüfung nach Incidents einrichten und herunterladen.

    Der Sicherheitsadministrator kann die Berichtsvorlagen erstellen und konfigurieren und diese Vorlagen mithilfe der Berichtskonfiguration dem Security Incident zuordnen. Ein Sicherheitsanalyst kann den Bericht dann anzeigen oder herunterladen, nachdem der Security Incident gelöst und der Status in den Status Überprüfen geändert wurde.

    Wenn der Incident nach erfolgreicher Konfiguration in den Status „Geschlossen“ versetzt wird, wird ein PDF-Bericht generiert und an den Security Incident angehängt.
    Hinweis:
    Die Berichtfunktion ist anwendbar und wird ab Orlando Patch9 unterstützt.
    Um Ihre Berichte zur Überprüfung nach Incidents anzupassen, müssen Sie die folgende Konfiguration vornehmen.
    1. Berichtsvorlagen: Sie können die folgenden Berichtsvorlagenfunktionen anpassen und konfigurieren, um dem Bericht zusätzliche Informationen hinzuzufügen:
      1. Zeitleiste
      2. Branding
      3. Vorlagenskripts
    2. Berichtkonfiguration

    In diesem Abschnitt wird das Konfigurationsverfahren beschrieben:

    Berichtsvorlagen

    Verwenden Sie den Abschnitt Berichtsvorlagen, um primäre und zusätzliche Berichtsvorlagen zu erstellen, die auf die Security Incidents angewendet werden, um den Bericht zur Überprüfung nach Incident zu generieren. Sie können den Bericht entsprechend Ihren Anforderungen formatieren und konfigurieren. Die Vorlagen helfen Ihnen auch, die Bewertungsdetails in die Vorlage aufzunehmen.

    Im Folgenden finden Sie einige optionale Schritte, die beim Erstellen der Vorlage ausgeführt werden können:
    1. Konfigurieren der Branding-Informationen.
    2. Seitengröße und Seitenrand einrichten.
    3. Hinzufügen von Feldern im Zusammenhang mit Security Incidents (sowohl anwenderdefiniert als auch standardmäßig).
    4. Mit den folgenden vordefinierten anwenderdefinierten Token:
      1. $sessionUser: gibt den angemeldeten Anwendernamen zurück
      2. $date: gibt das aktuelle Datum zurück
      3. $if_not_null_start & $if_not_null_end: Wenn diese Tags für Felder verwendet werden, werden die Tags nur angezeigt, wenn der Wert vorhanden ist. Beispiel:
        • ${if_not_null_start:problem}
        • Problem Category: ${problem.category}
        • ${if_not_null_end:problem}
    5. Einschließen der zugehörigen Listendaten mithilfe der Vorlagenskripts. Weitere Informationen finden Sie im Abschnitt weiter unten unter Vorlagenskripts.
    6. Einbeziehen der Zeitleisteninformationen mithilfe der Zeitleistenfilter. Weitere Informationen finden Sie im Abschnitt weiter unten unter Zeitleiste.
    7. Vorlageninhalte wie Anhänge, Tabellen und Bilder verwalten und formatieren.
    Hinweis:
    Die erweiterten Funktionen der Symbolleiste für Berichtsvorlagen sind nur ab der Paris-Release-Version verfügbar.
    Wichtige Punkte für Berichtsvorlagen:
    1. Die an die Berichtsvorlage angehängten Bilder werden nur dann im Bericht zur Überprüfung nach Incident angezeigt, wenn sie in der Tabelle „sys_attachment“ enthalten sind.
      Hinweis:
      Bilder, die in der Tabelle „db_image“ ausgewählt wurden, werden nicht im Bericht zur Überprüfung nach Incident angezeigt.
    2. Videos werden im Bericht zur Überprüfung nach Incident nicht unterstützt.
    3. Die URLs in der PDF-Datei können nicht angeklickt werden. Um die nicht anklickbaren URLs zu aktivieren, wird (.) mit (Punkt) gekennzeichnet.
    4. Der Bericht wird nicht generiert, wenn die Größe der Berichtsvorlage 50 MB überschreitet.
    5. Die für den Inhalt der Berichtsvorlage ausgewählte Schriftartfamilie wird nicht auf die PDF-Datei angewendet, wenn sie vom PDF-Generator nicht unterstützt wird.
      Hinweis:
      Wenn die entsprechende Schriftart nicht vorhanden ist, identifiziert der PDF-Generator die alternative, am nächsten liegende Schriftart und generiert dann die PDF-Datei.
    6. Wenn Sie höhere Seitenrandwerte angeben, schlägt das Generieren des Berichts zur Überprüfung nach Incident fehl. Beispiel: Oberer und unterer Rand > 450 und linker und rechter Rand > 450.
    7. Wenn die Berichtsvorlage einen großen Text ohne Leerzeichen enthält, wird der Text möglicherweise gekürzt. Zeigen Sie eine Vorschau des Texts an, und ändern Sie ihn entsprechend.

    Der -Sicherheitsadministrator kann den Bericht über die Schaltfläche Vorschaubericht anzeigen, die auf der Seite mit den Berichtsvorlagen verfügbar ist.

    Hinweis:

    Wählen Sie einen Security Incident aus, um eine Vorschau eines Berichts mit dieser Vorlagenoption anzuzeigen, und klicken Sie auf Vorschaubericht.

    Branding

    Sie können den Namen der Branding-Vorlage, das Kopf- und Fußzeilenbild sowie den Kopf- und Fußzeilentext hinzufügen, Seitenzahlen generieren und den Branding-Datensatz nach der Erstellung in die Berichtsvorlage aufnehmen.

    Im Folgenden finden Sie ein Beispiel für ein Branding-Berichtsformat:

    Kernpunkte des Brandings in Berichtsvorlagen:
    1. Die maximal zulässige Größe für das Header- und Footerbild beträgt 5 MB. Wenn die Größe den angegebenen Grenzwert überschreitet, wird im Security Incident die Fehlermeldung „Bildformat kann nicht erkannt werden“ angezeigt.
    2. Die Länge des Fußzeilentexts ist auf 100 Zeichen beschränkt.
      1. Wenn sich der Text des Fußzeilenbilds und der Berichtsinhalt während der Vorschau überschneiden, müssen Sie Änderungen am Branding-Datensatz vornehmen.
      2. Wenn der Fußzeilentext einen URL-Link enthält, kann er sich mit dem Fußzeilenbild überlappen. Zeigen Sie eine Vorschau an, und korrigieren Sie sie nach Bedarf.

    Zeitleiste

    Die Konfiguration der Zeitleiste ermöglicht Ihnen das Erstellen und Ändern der Zeitleistenfilter nach Bedarf. Sie können die Aktivitätstypen filtern, die in den Bericht aufgenommen werden sollen, konfigurieren, ob die untergeordneten Aufgaben in den Bericht aufgenommen oder ausgeschlossen werden sollen, und konfigurieren, ob die Bilder in den Bericht aufgenommen oder ausgeschlossen werden sollen.

    Wenn Sie eine Zeitleistenkonfiguration verwenden und ausfüllen möchten, müssen Sie das Tag wie unten erwähnt hinzufügen: ${timeline:timeline name}. Im Setup werden zwei Beispiel-Zeitleistenkonfigurationen bereitgestellt, die in der Phishing-Berichtsvorlage und der Standardberichtsvorlage verwendet werden. Sie können die -Konfigurationen ändern und wiederverwenden.

    Vorlagenskripts

    Verwenden Sie die Vorlagenskripts, um die Daten der zugehörigen Listen, Datums- und Zeitstempel und andere Daten einzubeziehen, die nicht direkt Dot-Walk-fähig sind. Es folgt ein Beispiel:

    Erstellen Sie ein Vorlagenskript zum Anzeigen der zugehörigen Liste in der Berichtsvorlage:
    1. Um die Daten der zugehörigen Liste vorzubereiten, rufen Sie die Methode PostIncidentReportUtils.fetchRelatedListDataForReport auf.
    2. Um die step1-Daten im Tabellenformat und -stil darzustellen, rufen Sie die ReportTemplateUtil.constructTablefunction-Methode auf.

    Wenn Sie ein Vorlagenskript verwenden und ausfüllen möchten, müssen Sie das Tag-Vorlagenskript-Tag als ${template_script:script name}hinzufügen.

    Im Folgenden finden Sie einige Beispielvorlagenskripts zum Konfigurieren und Ändern Ihrer Nachfolgeberichte zu Incidents.
    Tabelle : 1.
    Skriptname Beschreibung
    format_current_date Gibt das aktuelle lokale Datum und die aktuelle Uhrzeit im Format TTMMJJJJ 00.00 AM oder PM zurück. Beispiel: 21. Januar 2021 15:51 PST.
    si_affected_users Gibt die betroffenen Anwender aus der zugehörigen Liste in Tabellenform zurück.
    si_assessments Gibt die Ergebnisse der Bewertung nach Incident in Tabellenform zurück.
    si_associated_phish_emails Gibt die zugeordneten Phishing-E-Mails aus der zugehörigen Liste in Tabellenform zurück.
    si_associated_phish_headers Gibt die zugeordneten Phishing-Header aus der zugehörigen Liste in Tabellenform zurück.
    si_business_criticality Gibt einen farbcodierten Wert für die Geschäftskritikalität zurück.
    si_malicius_observables Gibt die schädlichen erkennbaren Elemente aus der zugehörigen Liste in Tabellenform zurück.
    si_observables Gibt die erkennbaren Elemente aus der zugehörigen Liste in Tabellenform zurück.
    si_priority Gibt einen farbcodierten Prioritätswert zurück.
    si_response_tasks Gibt die Antwortaufgaben aus der zugehörigen Liste in Tabellenform zurück.
    si_time_to_identify Gibt die Dauer zurück, die im Status Entwurf und Analyse verbracht wurde.
    si_time_to_resolve Gibt die Zeit bis zur Lösung des incident zurück.
    Wichtige Punkte von Berichtsvorlagenskripts:
    1. Wenn eine zugehörige Liste mit mehr als 5 Spalten hinzugefügt wird, werden die Tabellendaten während der PDF-Generierung gekürzt. Die Mindestbreite jeder Spalte ist auf 124 px festgelegt.
    2. Wenn ein Vorlagenskript den Inhalt aufgrund technischer Probleme nicht in der Berichtsvorlage laden kann, wird im Bericht die Fehlermeldung „Fehler beim Auswerten des Vorlagenskripts“ angezeigt, und der Sicherheitsadministrator muss die Richtigkeit des Skripts bewerten, um das zu beheben Problem.
    3. si_assessments: Standardmäßig werden alle Bewertungskategorien einem Bericht hinzugefügt. Der Sicherheitsadministrator kann die Daten filtern, indem er das Vorlagenskript nach Bedarf ändert. Fügen Sie den Parameter categories: sys_id1,  sys_id2; hinzu, um die Daten zu filtern.
    4. Zeit für Lösung und Zeit für Identifizierung von Skripts: Verwenden Sie die Definitionsdatensätze, die Teil der zugehörigen Liste der Metriken sind. Wenn die Definitionsdatensätze für den Security Incident nicht verfügbar sind, erstellen oder fügen Sie sie hinzu, um die Werte für die beiden Felder auszufüllen.
    Hinweis:

    Standardmäßig hat der -Sicherheitsadministrator keinen Zugriff zum Anzeigen der Versionsdatensätze einer Tabelle. Sie müssen die Administratorrolle hinzufügen, um auf die Versionsdatensätze zuzugreifen und zur vorherigen Version zurückzukehren.

    Berichtkonfiguration

    Verwenden Sie den Abschnitt „Berichtskonfiguration“, um die Bedingungen einzurichten und die Berichtsvorlagen auf die Security Incidents anzuwenden. Sie können derselben Bedingung einen primären Bericht und mindestens eine zusätzliche Berichtsvorlage hinzufügen.

    Im Folgenden finden Sie eine Beispielbedingung zum Anwenden der Phishing-Berichtsvorlage auf Incidents der Phishing-Kategorie und eine weitere Bedingung zum Anwenden der Standardberichtsvorlage auf alle Security Incidents. Die Standardberichtsvorlage wird auf die Security Incidents angewendet, wenn die Bedingungen nicht erfüllt sind.

    Verfahren zum Deaktivieren der neuen Implementierung

    1. Deaktivieren Sie die folgenden Geschäftsregeln:
      1. PIR-PDF generieren
      2. Wissen über Abschluss neu erstellen
    2. Aktivieren Sie die folgenden Geschäftsregeln:
      1. In „Überprüfen und schließen“ PIR generieren
      2. Wissen über Abschluss erstellen
      3. [PIR bei Abschluss/Abbrechen/Löschen erneut generieren]
    3. Aktivieren Sie die UI-Regel Hide PIR field when empty.
    4. Wechseln Sie zum Formularlayout im Formular „Security Incident“. Im Abschnitt „Überprüfung nach Incident“ :
      1. Entfernen Sie die PIR-Berichtsauswahl aus dem PIR-Abschnitt
      2. Fügen Sie dem PIR-Abschnitt das Feld „Nachfolgebericht zum Incident“ hinzu

    Konfigurieren Sie die Eigenschaften des PIR-Berichts (Post Incident Review) für untergeordnete Security Incidents

    Sie können die folgenden beiden PIR-Berichtseigenschaften für untergeordnete Security Incidents konfigurieren:
    • sn_si.generate_vir_report_for_child_si
    • sn_si.include_child_si_timeline_in_vir
    Hinweis:
    Benutzer mit der Rolle „Systemadministrator“ [admin] können die Eigenschaften von anzeigen. Benutzer mit der Rolle „Sicherheitsadministrator“ [sn_si.admin] können sie ändern.
    Tabelle : 2. Konfigurieren Sie PIR-Berichtseigenschaften für untergeordnete Security Incidents
    Eigenschaft Monatlich
    sn_si.generate_vir_report_for_child_si Mit dieser Option wird die Generierung von PIR-Berichten (Post Incident Review) für untergeordnete Security Incidents aktiviert.
    • Typ: true | false
    • Standardwert: false
    • Speicherort: Navigieren Sie zu Alle > Systemeigenschaften > Alle Eigenschaften.
    sn_si.include_child_si_timeline_in_vir Option, um die Zeitleiste der untergeordneten Security Incidents in den PIR-Bericht des übergeordneten Security Incident aufzunehmen.
    • Typ: true | false
    • Standardwert: false
    • Speicherort: Navigieren Sie zu Alle > Systemeigenschaften > Alle Eigenschaften.