インシデントの事後レビューレポート
インシデントの事後レビュー (PIR) レポート機能により、[インシデントの事後レビュー] タブを使用してインシデントの事後レビューレポートを設定およびダウンロードできます。
セキュリティアドミニストレーターは、レポートテンプレートを作成して構成し、レポート構成を使用してそれらのテンプレートをセキュリティインシデントにマッピングできます。セキュリティインシデントが解決され、ステータスが [レビュー] に更新された後で、セキュリティアナリストがレポートを表示またはダウンロードできます。
- レポートテンプレート:次のレポートテンプレート機能をカスタマイズして設定し、補足情報をレポートに追加します。
- タイムライン
- 自社用カスタム設定
- テンプレートスクリプト
- レポート構成
このセクションでは、構成手順を説明します。
レポートテンプレート
[レポートテンプレート] セクションを使用して、インシデントの事後レビューレポートを生成するためにセキュリティインシデントに適用されるプライマリレポートテンプレートと追加のレポートテンプレートを作成します。要件に基づいてレポートの書式設定と構成を行うことができます。テンプレートは、アセスメントの詳細をテンプレートに組み込むときにも役立ちます。
- ブランディング情報を構成します。
- ページサイズとページマージンを設定します。
- セキュリティインシデント関連フィールド (カスタムと標準の両方) を追加します。
- 次の事前定義されたカスタムトークンを使用します。
- $sessionUser:ログインしているユーザー名を返します
- $date:現在の日付を返します
- $if_not_null_start & $if_not_null_end:これらのタグがいずれかのフィールドに対して使用されている場合には、値が存在する場合にのみタグが表示されます。次に例を示します。
- ${if_not_null_start:problem}
- Problem Category: ${problem.category}
- ${if_not_null_end:problem}
- テンプレートスクリプトを使用して関連リストデータを含めます。詳細については、以下の「テンプレートスクリプト」セクションを参照してください。
- タイムラインフィルターを使用してタイムライン情報を含めます。詳細については、以下の「タイムライン」セクションを参照してください。
- 添付ファイル、テーブル、画像などのテンプレートコンテンツを管理し、書式設定します。
- レポートテンプレートに添付された画像は、sys_attachment テーブルに含まれている場合にのみ、インシデントの事後レビューレポートに表示されます。注:db_image テーブルから選択された画像は、インシデントの事後レビューレポートには表示されません。
- インシデントの事後レビューレポートではビデオはサポートされていません。
- PDF 内の URL はクリックできません。URL を有効にするため、クリック不可 (.) は (ドット) として示されます。
- レポートテンプレートのサイズが 50 MB を超えるている場合、レポートは生成されません。
- レポートテンプレートコンテンツ用に選択されたフォントファミリーは、PDF ジェネレーターでサポートされていない場合、PDF には適用されません。 注:対応するフォントが存在しない場合、PDF ジェネレーターは最も近い代替フォントを特定して PDF を生成します。
- ページマージンの値を大きくすると、インシデントの事後レビューレポートの生成が失敗します。たとえば、上と下のマージンが 450 よりも大きい場合、および左と右のマージン が 450 よりも大きい場合などです
- スペースのないレポートテンプレートに大きなテキストが含まれている場合、テキストが切り捨てられることがあります。テキストをプレビューし、必要に応じてテキストを変更します。
セキュリティアドミニストレーターは、[レポートテンプレート (Report Template)] ページで使用可能な [レポートをプレビュー] ボタンを使用してレポートをプレビューできます。
[このテンプレートでレポートをプレビューするには、セキュリティインシデントを選択してください] オプションを選択して、[レポートをプレビュー] をクリックします。
自社用カスタム設定
レポートテンプレートの作成後に、レポートテンプレートにブランディングテンプレート名、ヘッダーとフッターの画像、ヘッダーとフッターのテキストを追加し、ページ番号を生成し、ブランディングレコードを含めることができます。
ブランディングレポート形式の例を次に示します。
- ヘッダーとフッターの画像の最大サイズは 5 MB です。サイズが指定された制限を超えると、「画像の形式を認識できません (Image format cannot be recognized)」というエラーメッセージがセキュリティインシデントに表示されます。
- フッターのテキストの長さは 100 文字に制限されています。
- プレビュー中にフッター画像とフッターテキストがレポートコンテンツに重なり合う場合は、ブランディングレコードを変更する必要があります。
- フッターテキストに URL リンクが含まれている場合、フッターテキストがフッター画像に重なり合う可能性があります。プレビューし、必要に応じて修正します。
タイムライン
タイムライン構成では、必要に応じてタイムラインフィルターを作成および変更できます。レポートに含めるアクティビティタイプをフィルタリングし、子タスクをレポートに含めるかまたは除外するかを設定し、画像をレポートに含めるかまたは除外するかを設定できます。
タイムライン構成を使用し、タイムライン構成を入力する場合は、タグを ${timeline:timeline name} として追加する必要があります。この設定では、フィッシングレポートテンプレートとデフォルトレポートテンプレートで使用される 2 つのサンプルタイムライン構成が例として提供されています。これらの構成を変更して再利用できます。
テンプレートスクリプト
関連リストのデータ、日付とタイムスタンプ、および直接ドット連結可能でないその他のデータを含めるときに、テンプレートスクリプトを使用します。次に例を示します。
- 関連リストのデータを準備するには、PostIncidentReportUtils.fetchRelatedListDataForReport メソッドを呼び出します。
- ステップ 1 のデータをテーブル形式とスタイルで表すには、ReportTemplateUtil.constructTablefunction メソッドを呼び出します。
テンプレートスクリプトを使用して入力する場合は、タグテンプレートスクリプトのタグを ${template_script:script name} として追加する必要があります。
| スクリプト名 | 説明 |
|---|---|
| formatted_current_date | 現地の現在の日時を DDMMYYYY 00.00 AM または PM 形式で返します。例:21 Jan 2021 3:51 PM PST |
| si_affected_users | 影響を受けるユーザーを関連リストから表形式で返します。 |
| si_assessments | インシデント事後アセスメントの結果を表形式で返します。 |
| si_associated_phish_emails | 関連フィッシングメールを関連リストから表形式で返します。 |
| si_associated_phish_headers | 関連フィッシングヘッダーを関連リストから表形式で返します。 |
| si_business_criticality | ビジネス上の重要度の値を色分けされた形で返します。 |
| si_malicious_observables | 悪意のある観測事象を関連リストから表形式で返します。 |
| si_observables | 観測事象を関連リストから表形式で返します。 |
| si_priority | 優先度の値を色分けされた形で返します。 |
| si_response_tasks | 応答タスクを関連リストから表形式で返します。 |
| si_time_to_identify | ドラフトと分析のステータスで費やされた期間を返します。 |
| si_time_to_resolve | インシデントの解決にかかる時間を返します。 |
- 列数が 5 列を超える関連リストが追加された場合、PDF の生成中にテーブルデータが切り捨てられます。各列の最小幅は 124px に設定されています。
- 技術的な問題が原因でテンプレートスクリプトがレポートテンプレートのコンテンツをロードできない場合、「テンプレートスクリプトの評価中にエラーが発生しました (Error while evaluating the template script)」というエラーメッセージがレポートに表示されます。セキュリティアドミニストレーターは、スクリプトの正確性を評価して問題を解決する必要があります。
- si_assessments:デフォルトでは、すべてのアセスメントカテゴリがレポートに追加されます。セキュリティアドミニストレーターは、必要に応じてテンプレートスクリプトを変更してデータをフィルタリングできます。categories: sys_id1, sys_id2; パラメーターを追加して、データをフィルタリングします。
- 解決時間とスクリプトの識別にかかる時間:メトリクス関連リストの一部である定義レコードを使用します。セキュリティインシデントで定義レコードが利用できない場合は、それらの定義レコードを作成または追加して、2 つのフィールドの値を入力します。
デフォルトでは、セキュリティアドミニストレーターにはテーブルのバージョンレコードを表示するためのアクセス権がありません。バージョンレコードにアクセスして以前のバージョンに戻すには、admin ロールを追加する必要があります。
レポート構成
[レポート構成] セクションを使用して条件を設定し、レポートテンプレートをセキュリティインシデントに適用します。1 つのプライマリレポートと 1 つ以上の追加のレポートテンプレートを同じ条件に追加できます。
以下は、フィッシングレポートテンプレートをフィッシングカテゴリインシデントに適用するための条件の例と、デフォルトレポートテンプレートをすべてのセキュリティインシデントに適用するための条件の例です。条件が満たされない場合、デフォルトレポートテンプレートがセキュリティインシデントに適用されます。
新しい実装をオフにする手順
- 次のビジネスルールを非アクティブ化します。
- PIR PDF の生成 (Generate PIR PDF)
- 新規クローズ時にナレッジを作成 (Create Knowledge On Closure New)
- 次のビジネスルールをアクティブ化します。
- レビューおよびクローズ時に PIR を生成 (Generate PIR when in Review and Close)
- クローズ時にナレッジを作成 (Create Knowledge On Closure)
- [クローズ/キャンセル/削除時に PIR を再生成 (Regen PIR on closure/cancel/delete)]
- UI ルール Hide PIR field when empty をアクティブ化します。
- セキュリティインシデントフォームのフォームレイアウトに移動します。[インシデントの事後レビュー] セクションで、次の手順を実行します。
- [PIR] セクションから PIR レポートピッカーを削除します
- [インシデントの事後レポート] フィールドを [PIR] セクションに追加します
子セキュリティインシデントのインシデントの事後レビュー (PIR) レポートプロパティの設定
- sn_si.generate_pir_report_for_child_si
- sn_si.include_child_si_timeline_in_pir
| プロパティ | 使用法 |
|---|---|
| sn_si.generate_pir_report_for_child_si | 子セキュリティインシデントのインシデントの事後レビュー (PIR) レポートの生成を有効にするオプション。
|
| sn_si.include_child_si_timeline_in_pir | 親セキュリティインシデントの PIR レポートに子セキュリティインシデントのタイムラインを含めるオプション。
|