게시 인시던트 검토 보고서
PIR(사후 인시던트 검토) 보고서 기능을 사용하면 사후 인시던트 검토 탭을 사용하여 사후 인시던트 검토 보고서를 설정하고 다운로드할 수 있습니다.
보안 관리자는 보고서 템플릿을 생성 및 구성하고, 보고서 구성을 사용하여 이러한 템플릿을 보안 인시던트에 매핑할 수 있습니다. 그런 다음 보안 분석가는 보안 인시던트가 해결되고 상태가 검토 상태로 업데이트된 후 보고서를 보거나 다운로드할 수 있습니다.
- 보고서 템플릿: 다음 보고서 템플릿 기능을 사용자 지정하고 구성하여 보고서에 정보를 추가합니다.
- 시간 표시 막대
- 브랜딩
- 템플릿 스크립트
- 보고서 구성
이 섹션에서는 구성 절차에 대해 설명합니다.
보고서 템플릿
보고서 템플릿 섹션을 사용하여 사후 인시던트 검토 보고서를 생성하기 위해 보안 인시던트에 적용되는 기본 및 추가 보고서 템플릿을 생성합니다. 요구 사항에 따라 보고서의 형식을 지정하고 구성할 수 있습니다. 또한 템플릿을 사용하여 평가 세부 정보를 템플릿에 포함할 수 있습니다.
- 브랜딩 정보 구성.
- 페이지 크기 및 페이지 여백을 설정합니다.
- 보안 인시던트 관련 필드(사용자 지정 및 표준 모두)를 추가합니다.
- 다음과 같이 미리 정의된 사용자 지정 토큰을 사용합니다.
- $sessionUser: 로그인 한 사용자 이름을 반환합니다.
- $date: 현재 날짜를 반환합니다.
- $if_not_null_start & $if_not_null_end: 이러한 태그를 필드에 대해 사용하면 값이 있는 경우에만 태그가 표시됩니다. 예를 들면 다음과 같습니다.
- ${if_not_null_start:problem}
- Problem Category: ${problem.category}
- ${if_not_null_end:problem}
- 템플릿 스크립트를 사용하여 관련 목록 데이터를 포함합니다. 자세한 내용은 템플릿 스크립트에 대한 아래 섹션을 참조하십시오.
- 타임라인 필터를 사용하여 타임라인 정보를 포함합니다. 자세한 내용은 아래 타임라인 섹션을 참조하세요.
- 첨부 파일, 테이블 및 이미지와 같은 템플릿 컨텐츠를 관리하고 서식을 지정합니다.
- 보고서 템플릿에 첨부된 이미지는 sys_attachment 테이블에 포함된 경우에만 사후 인시던트 검토 보고서에 표시됩니다.주:db_image 테이블에서 선택한 이미지는 사후 인시던트 검토 보고서에 표시되지 않습니다.
- 비디오는 사후 인시던트 검토 보고서에서 지원되지 않습니다.
- PDF의 URL은 클릭할 수 없습니다. URL을 활성화하려면 클릭할 수 없는 (.)가 (점)으로 표시됩니다.
- 보고서 템플릿의 크기가 50MB를 초과하면 보고서가 생성되지 않습니다.
- 보고서 템플릿 컨텐츠에 대해 선택된 글꼴 집합은 PDF 생성기에서 지원되지 않는 경우 PDF에 적용되지 않습니다. 주:해당 글꼴이 없는 경우 PDF 생성기는 가장 가까운 대체 글꼴을 식별한 다음 PDF를 생성합니다.
- 더 높은 페이지 여백 값을 제공하면 사후 인시던트 검토 보고서 생성이 실패합니다. 예를 들어 위쪽 및 아래쪽 여백> 450이고 왼쪽 및 오른쪽 여백> 450입니다.
- 큰 텍스트가 공백 없이 보고서 템플릿에 포함되면 텍스트가 잘릴 수 있습니다. 텍스트를 미리 보고 그에 따라 수정합니다.
보안 관리자는 보고서 템플릿 페이지에서 사용할 수 있는 보고서 미리 보기 단추를 사용하여 보고서를 미리 볼 수 있습니다.
보안 인시던트를 선택하여 이 템플릿 옵션으로 보고서를 미리 보고보고서 미리 보기를 클릭합니다.
브랜딩
브랜딩 템플릿 이름, 머리글 및 바닥글 이미지, 머리글 및 바닥글 텍스트를 추가하고, 페이지 번호를 생성하고, 보고서 템플릿을 만든 후 브랜딩 기록을 포함할 수 있습니다.
다음은 샘플 브랜딩 보고서 형식입니다.
- 머리글 및 바닥글 이미지에 허용되는 최대 크기는 5MB입니다. 크기가 지정된 한도를 초과하면 보안 인시던트에 '이미지 형식을 인식할 수 없습니다'라는 오류 메시지가 표시됩니다.
- 바닥글 텍스트 길이는 100자로 제한됩니다.
- 미리 보는 동안 바닥글 이미지 텍스트와 보고서 내용이 겹치는 경우 브랜딩 기록을 변경해야 합니다.
- 바닥글 텍스트에 URL 링크가 포함되어 있으면 바닥글 이미지와 겹칠 수 있습니다. 필요에 따라 미리 보고 수정합니다.
시간 표시 막대
타임라인 구성을 사용하면 필요에 따라 타임라인 필터를 만들고 수정할 수 있습니다. 보고서에 포함해야 하는 활동 유형을 필터링하고, 하위 작업을 보고서에 포함하거나 제외해야 하는지 구성하고, 보고서에 이미지를 포함하거나 제외해야 하는지 구성할 수 있습니다.
타임라인 구성을 활용하고 채우려면 아래에 ${timeline:timeline name}설명된 대로 태그를 추가해야 합니다. 피싱 보고서 템플릿과 기본 보고서 템플릿에 사용되는 설정에는 예제로 두 개의 샘플 타임라인 구성이 제공됩니다. 구성을 수정하고 재사용할 수 있습니다.
템플릿 스크립트
템플릿 스크립트를 사용하여 관련 목록 데이터, 날짜 및 시간 스탬프, 그리고 직접적인 닷워킹이 불가능한 기타 데이터를 포함합니다. 예를 들면 다음과 같습니다.
- 관련 목록 데이터를 준비하려면 PostIncidentReportUtils.fetchRelatedListDataForReport 메서드를 호출합니다.
- 1단계 데이터를 테이블 형식 및 스타일로 나타내려면 ReportTemplateUtil.constructTablefunction 메서드를 호출합니다.
템플릿 스크립트를 활용하고 채우려면 태그 템플릿 스크립트 태그를 로 ${template_script:script name}추가해야 합니다.
| 스크립트 이름 | 설명 |
|---|---|
| formatted_current_date | 현재 현지 날짜 및 시간을 DDMMYYYY 00.00 AM 또는 PM 형식으로 반환합니다. 예: 2021년 1월 21일 오후 3:51 PST. |
| si_affected_users | 관련 목록에서 영향받은 사용자를 표 형식으로 반환합니다. |
| si_assessments | 사후 인시던트 평가 결과를 표 형식으로 반환합니다. |
| si_associated_phish_emails | 관련 목록에서 표 형식의 관련 피싱 이메일을 반환합니다. |
| si_associated_phish_headers | 관련 목록에서 연결된 피싱 헤더를 표 형식으로 반환합니다. |
| si_business_criticality | 색상으로 구분된 비즈니스 중요도 값을 반환합니다. |
| si_malicious_observables | 관련 목록에서 악의적인 옵저버블을 표 형식으로 반환합니다. |
| si_observables | 관련 목록에서 테이블 형식의 옵저버블을 반환합니다. |
| si_priority | 색상으로 구분된 우선순위 값을 반환합니다. |
| si_response_tasks | 응답 작업을 관련 목록에서 표 형식으로 반환합니다. |
| si_time_to_identify | 초안 및 분석 상태로 소요된 기간을 반환합니다. |
| si_time_to_resolve | 인시던트 해결 시간을 반환합니다. |
- 5개 이상의 열로 관련 목록을 추가하면 PDF를 생성하는 동안 테이블 데이터가 잘립니다. 각 열의 최소 너비는 124px로 설정됩니다.
- 기술적인 문제로 인해 템플릿 스크립트가 보고서 템플릿의 내용을 로드할 수 없는 경우 '템플릿 스크립트를 평가하는 동안 오류가 발생했습니다'라는 오류 메시지가 보고서에 표시되고 보안 관리자가 스크립트의 정확성을 평가하여 문제를 해결해야 합니다.
- si_assessments: 기본적으로 모든 평가 범주가 보고서에 추가됩니다. 보안 관리자는 필요에 따라 템플릿 스크립트를 수정하여 데이터를 필터링할 수 있습니다. 매개변수를 categories: sys_id1, sys_id2; 추가하여 데이터를 필터링합니다.
- 해결 시간 및 스크립트 식별 시간: 메트릭 관련 목록의 일부인 정의 기록을 사용합니다. 보안 인시던트에 정의 기록을 사용할 수 없는 경우 해당 정의 기록을 만들거나 추가하여 두 필드의 값을 채웁니다.
기본적으로 보안 관리자는 테이블의 버전 레코드를 볼 수 있는 액세스 권한이 없습니다. 버전 기록에 액세스하고 이전 버전으로 되돌리려면 관리자 역할을 추가해야 합니다.
보고서 구성
보고서 구성 섹션을 사용하여 조건을 설정하고 보안 인시던트에 보고서 템플릿을 적용합니다. 동일한 조건에 기본 보고서 하나와 보고서 템플릿 하나 이상을 추가할 수 있습니다.
다음은 피싱 범주 인시던트에 피싱 보고서 템플릿을 적용하기 위해 제공되는 예시 조건과 모든 보안 인시던트에 기본 보고서 템플릿을 적용하기 위한 다른 조건입니다. 조건이 충족되지 않으면 기본 보고서 템플릿이 보안 인시던트에 적용됩니다.
새 구현을 해제하는 절차
- 다음 비즈니스 규칙을 비활성화합니다.
- PIR PDF 생성
- 종결 시 지식 생성 신규
- 다음 비즈니스 규칙을 활성화합니다.
- 검토 및 종결 시 PIR 작성
- 종결 시 지식 생성
- [종결/취소/삭제 시 PIR 다시 생성]
- UI 규칙을 Hide PIR field when empty활성화합니다.
- 보안 인시던트 양식의 양식 레이아웃으로 이동합니다. Post Incident Review(사후 인시던트 검토) 섹션에서 다음을 수행합니다.
- PIR 섹션에서 PIR 보고서 선택기 제거
- PIR 섹션에 인시던트 게시 보고서 필드 추가
하위 보안 인시던트에 대한 PIR(사후 인시던트 검토) 보고서 속성 구성
- sn_si.generate_pir_report_for_child_si
- sn_si.include_child_si_timeline_in_pir
| 속성 | 사용법 |
|---|---|
| sn_si.generate_pir_report_for_child_si | 하위 보안 인시던트에 대한 PIR(사후 인시던트 검토) 보고서 생성을 활성화하는 옵션입니다.
|
| sn_si.include_child_si_timeline_in_pir | 상위 보안 인시던트의 PIR 보고서에 하위 보안 인시던트의 타임라인을 포함하는 옵션입니다.
|