Execute uma revisão pós-incidente baseada em questionário

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Você pode decidir que uma revisão pós-incidente do incidente de segurança é garantida. Uma revisão pós-incidente descreve o que aconteceu, ajuda a determinar por que o incidente ocorreu e identifica como ele pode ser evitado ou tratado no futuro.

    Antes de Iniciar

    Função necessária: sn_si.admin, sn_si.manager, sn_si.analyst
    Nota:
    Qualquer usuário pode participar de um questionário de revisão pós-incidente, independentemente da função. Funções podem ser atribuídas a uma revisão.

    Por Que e Quando Desempenhar Esta Tarefa

    . ServiceNow Resposta a incidentes de segurança a aplicação pode automatizar a coleta de informações de revisão pós-incidente de todos os envolvidos em um incidente de segurança usando questionários. Se você decidir usar um questionário como parte de uma revisão pós-incidente, uma lista de perguntas relevantes para o incidente de segurança será enviada para a lista de participantes definida pelo usuário. Conforme cada usuário conclui o questionário, o relatório pós-incidente é gerado automaticamente. O relatório compila todas as informações relacionadas ao incidente de segurança, bem como todas as respostas à revisão pós-incidente.

    Uma lista inicial de perguntas é fornecida com o sistema de base, mas elas são personalizáveis. Você pode criar categorias e adicionar novas perguntas a elas ou mudar perguntas individuais nas categorias existentes. Você pode fazer perguntas com base em funções. Você pode definir quando determinadas perguntas são feitas. Pode haver perguntas que você faz somente para seus servidores UNIX, por exemplo, ou somente quando há atividade criminosa. Você pode definir perguntas que são feitas dependendo da resposta para outra pergunta ou do valor em um campo no formulário. Até pode haver perguntas que são preenchidas por completo consultando o banco de dados.

    Depois que o incidente de segurança é resolvido e movido para Revisão estado, as avaliações são geradas para todos os usuários atribuídos e usuários que são adicionados diretamente do Solicitar avaliações lista.

    O questionário pode ser uma ferramenta útil para coletar informações sobre o tratamento do incidente de segurança de várias fontes.

    Durante a revisão, você pode adicionar mais usuários à lista ou remover usuários existentes da lista, a menos que eles já tenham começado a preencher o questionário. Se você adicionar novos usuários à lista, eles receberão as perguntas quando o registro for salvo. O incidente de segurança não pode ser encerrado até que todos os questionários tenham sido concluídos. Conforme os questionários são preenchidos por cada usuário, o relatório pós-incidente é gerado automaticamente (e gerado novamente) e exibido no Revisão pós-incidente guia.

    Para iniciar uma revisão pós-incidente:

    Procedimento

    1. Crie um incidente de segurança ou abra um existente navegando até Incidente de segurança > incidentes > Atribuído a mim (ou Atribuído à equipe ou incidentes não atribuídos).
    2. Clique em Revisão pós-incidente guia.
    3. . Solicitar avaliações o padrão do campo é o indivíduo em Atribuído a. campo.
      Clique no ícone de cadeado para adicionar outros usuários à lista de revisão. Depois que o campo é desbloqueado, as opções ficam disponíveis para adicionar ou remover vários usuários, funções ou inserir endereços de e-mail do usuário.
    4. Após concluir suas entradas, clique no ícone de cadeado para bloquear o campo.
      Nota:
      Você também pode definir condições que, quando atendidas em um incidente de segurança, podem fazer com que usuários específicos sejam adicionados automaticamente ao Solicitar avaliações campo desse incidente de segurança. Por exemplo, quando um incidente de segurança Categoria foi alterado para Phishing indivíduos específicos que têm experiência em ameaças de phishing podem ser adicionados à lista de revisão pós-incidente. Para obter mais informações, consulte Criar regras de atribuição de PIR.
    5. Clique em Atualizar.
      Quando o incidente entra em Revisão estado (ou imediatamente, se já estiver em Revisão cada um dos usuários na lista de revisão recebe uma inicial notificação por e-mail . Os lembretes são enviados conforme a data de vencimento se aproxima. Quando cada usuário acessa o questionário pelo link de e-mail ou acessando Análise pós-incidente > Minhas Revisões Pendentes, as perguntas mostradas são extraídas de todas as categorias que se encaixam neste incidente de segurança. Se novos usuários forem adicionados à lista de revisão antes que a data de vencimento seja atingida, eles receberão notificações quando o incidente de segurança for salvo.

      Conforme os usuários preenchem seus questionários, o relatório pós-incidente compila os dados e exibe o relatório no Revisão pós-incidente guia. Os dados do questionário são exibidos no Descobertas guia.