Relatório de análise pós-incidente
O recurso de relatórios Revisão pós-incidente (PIR) permite configurar e baixar os relatórios de revisão pós-incidente usando a guia Revisão pós-incidente.
O administrador de segurança pode criar e configurar os modelos de relatório e mapear esses modelos para o incidente de segurança usando a configuração do relatório. Um analista de segurança pode exibir ou baixar o relatório depois que o incidente de segurança for resolvido e o status for atualizado para o estado Revisar.
- Modelos de relatório : Personalize e configure os seguintes recursos do modelo de relatório para adicionar informações adicionais ao relatório:
- Linha do tempo
- Identidade visual
- Scripts do Modelo
- Configuração de Relatório
Esta seção descreve o procedimento de configuração:
Modelos de relatório
Use a seção Modelos de relatório para criar modelos de relatório primários e adicionais que são aplicados aos incidentes de segurança para gerar o relatório Revisão pós-incidente. Você pode formatar e configurar o relatório com base em seus requisitos. Os modelos também ajudam a incluir os detalhes da avaliação no modelo.
- Configurando as informações de identidade visual.
- Configuração do tamanho da página e da margem da página.
- Adição de campos relacionados a incidentes de segurança (personalizados e padrão).
- Usando os seguintes tokens personalizados predefinidos:
- $sessionUserretorna o nome de usuário conectado
- $date retorna a data atual
- $if_not_null_start & $if_not_null_end: se esses marcadores forem usados em qualquer campo, os marcadores serão exibidos somente se o valor existir. Por exemplo:
- ${if_not_null_start:problem}
- Problem Category: ${problem.category}
- ${if_not_null_end:problem}
- Incluindo os dados da lista relacionada usando os scripts de modelo. Para obter mais informações, consulte a seção abaixo em Scripts de Modelo .
- Incluindo as informações da linha do tempo usando os filtros da linha do tempo. Para obter mais informações, consulte a seção abaixo em Linha do tempo .
- Gerenciar e formatar o conteúdo do modelo, como anexos, tabelas e imagens.
- As imagens anexadas ao modelo de relatório são exibidas no relatório Revisão pós-incidente somente quando são incluídas na tabela sys_attachment. Nota:As imagens selecionadas na tabela db_image não serão exibidas no relatório de revisão pós-incidente.
- Os vídeos não são compatíveis com o relatório de revisão pós-incidente.
- Os URLs no PDF não podem ser clicados. Para habilitar os URLs não clicáveis (.) é indicado como (ponto).
- O relatório não será gerado se o tamanho do modelo de relatório exceder 50 MB.
- A família de fontes selecionada para o conteúdo do modelo de relatório não será aplicada ao PDF se não for compatível com o gerador de PDF. Nota:Se a fonte correspondente não estiver lá, o gerador de PDF identificará a fonte alternativa mais próxima e gerará o PDF.
- Se você fornecer valores de margem de página mais altos, a geração do relatório de revisão pós-incidente ocorrerá falha. Por exemplo, Margem superior e inferior > 450 e Margem esquerda e direita > 450.
- Se um texto grande for incluído no modelo de relatório sem espaços, o texto poderá ser truncado. Visualize o texto e modifique-o de acordo.
O administrador de segurança pode visualizar o relatório usando Visualizar relatório Botão disponível na página Modelo de relatório.
Selecione um Incidente de segurança para visualizar um relatório com este modelo e clique Visualizar relatório .
Identidade visual
Você pode adicionar o nome do modelo de identidade visual, a imagem do cabeçalho e do rodapé, o texto do cabeçalho e do rodapé, gerar números de página e incluir o registro de identidade visual no modelo de relatório depois que ele for criado.
A seguir está um exemplo de formato de relatório de identidade visual:
- O tamanho máximo permitido para a imagem de cabeçalho e rodapé é de 5 MB. Se o tamanho exceder mais do que o limite especificado, uma mensagem de erro "O formato da imagem não pode ser reconhecido" será exibida no incidente de segurança.
- O comprimento do texto do rodapé é limitado a 100 caracteres.
- Se o texto da imagem do rodapé e o conteúdo do relatório estiverem sobrepostos durante a visualização, você deverá fazer mudanças no registro de identidade visual.
- Se o texto do rodapé contiver um link de URL, ele poderá se sobrepor à imagem do rodapé. Visualize e corrija conforme necessário.
Linha do tempo
A configuração da linha do tempo permite criar e modificar os filtros da linha do tempo conforme necessário. Você pode filtrar os tipos de atividade que devem ser incluídos no relatório, configurar se as tarefas secundárias devem ser incluídas ou excluídas no relatório e configurar se as imagens devem ser incluídas ou excluídas no relatório.
Se você quiser utilizar e preencher qualquer configuração de linha do tempo, adicione o marcador conforme mencionado abaixo: ${timeline:timeline name}. Duas configurações de linha do tempo de amostra como exemplo são fornecidas na configuração que são usadas no modelo de Relatório de Phishing e no modelo de Relatório Padrão. Você pode modificar e reutilizar as configurações.
Scripts do Modelo
Use os scripts do modelo para incluir os dados das listas relacionadas, carimbo de data e hora e quaisquer outros dados que não sejam diretamente identificáveis com pontos. A seguir está um exemplo:
- Para preparar os dados da lista relacionada, chame o método PostIncidentReportUtils.fetchRelatedListDataForReport.
- Para representar os dados da etapa 1 no formato e no estilo da tabela, chame o método ReportTemplateUtil.constructTablefunction.
Se você quiser utilizar e preencher qualquer script de modelo, adicione o marcador de script de modelo de marcador como ${template_script:script name}.
| Nome do script | Descrição |
|---|---|
| formatted_current_date | Retorna a data e a hora locais atuais no formato DDMMYAYYY 00,00 AM ou PM. Por exemplo, 21 de janeiro de 2021 3:51 PM PST. |
| si_affected_users | Retorna os usuários afetados da lista relacionada em um formulário tabular. |
| si_assessments | Retorna os resultados da avaliação pós-incidente em um formulário tabular. |
| si_associated_phish_emails | Retorna os e-mails de phishing associados da lista relacionada em um formulário tabular. |
| si_associated_phish_headers | Retorna os cabeçalhos de phishing associados da lista relacionada em um formulário tabular. |
| si_business_criticality | Retorna o valor de criticalidade comercial codificado por cores. |
| si_malicious_observables | Retorna os observáveis mal-intencionados da lista relacionada em um formulário tabular. |
| si_observables | Retorna os observáveis da lista relacionada em um formulário tabular. |
| si_priority | Retorna um valor de prioridade codificado por cores. |
| si_response_tasks | Retorna as tarefas de resposta da lista relacionada em um formulário tabular. |
| si_time_to_identify | Retorna a duração gasta no estado Rascunho e Análise. |
| si_time_to_resolve | Retorna o tempo para resolver o incidente. |
- Se uma lista relacionada for adicionada com mais de 5 colunas, os dados da tabela serão truncados durante a geração do PDF. Cada largura mínima de coluna é definida como 124 px.
- Se um script de modelo não puder carregar o conteúdo no modelo de relatório devido a problemas técnicos, uma mensagem de erro será exibida no relatório, "Erro ao avaliar o script do modelo", e o administrador de segurança deverá avaliar a exatidão do script para resolver o problema.
- si_assessments: Por padrão, todas as categorias de avaliação são adicionadas ao relatório. O administrador de segurança pode filtrar os dados modificando o script do modelo conforme necessário. Adicione categories: sys_id1, sys_id2;parâmetro para filtrar os dados.
- Tempo de resolução e tempo para identificar scripts: Use os registros de definição que fazem parte da lista relacionada de métrica. Se os registros de definição não estiverem disponíveis para o incidente de segurança, crie ou adicione esses registros de definição para preencher os valores dos dois campos.
Por padrão, o administrador de segurança não tem acesso para exibir os registros de versão de nenhuma tabela. Você deve adicionar a função de administrador para acessar os registros de versão e reverter para a versão anterior.
Configuração de Relatório
Use a seção Configuração de relatório para configurar as condições e aplicar os modelos de relatório aos Incidentes de segurança. Você pode adicionar um relatório primário e um ou mais modelos de relatório adicionais à mesma condição.
A seguir está um exemplo de condição fornecida para aplicar o modelo de Relatório de Phishing aos Incidentes da categoria de Phishing e a outra para aplicar o modelo de Relatório padrão a todos os incidentes de segurança. O modelo de relatório padrão será aplicado aos incidentes de segurança se as condições não forem atendidas.
Procedimento para desativar a nova implementação
- Desative as seguintes regras de negócios:
- Gerar PDF PIR
- Criar conhecimento no fechamento Novo
- Ative as seguintes regras de negócio:
- Gerar PIR quando em Revisar e Fechar
- Criar conhecimento no fechamento
- Regen PIR no fechamento/cancelamento/exclusão]
- Ativar a regra de IU, Hide PIR field when empty.
- Vá para o layout do formulário no formulário de incidente de segurança. Em Revisão pós-incidente seção:
- Remova o seletor de relatório PIR da seção PIR
- Campo Relatório pós-incidente à seção PIR
Configure as propriedades do relatório Revisão pós-incidente (PIR) para incidentes de segurança secundários
- sn_si.generate_pir_report_for_child_si
- sn_si.include_child_si_timeline_in_pir
| Propriedade | Uso |
|---|---|
| sn_si.generate_pir_report_for_child_si | Opção para habilitar a geração de relatórios de Revisão pós-incidente (PIR) para incidentes de segurança secundários.
|
| sn_si.include_child_si_timeline_in_pir | Opção para incluir a linha do tempo dos incidentes de segurança secundários no relatório PIR do incidente de segurança primário.
|