Prüfbericht nach Incident
Mit der Funktion „Berichte nach Incidents überprüfen“ (PIR) können Sie die Berichte zur Überprüfung nach Incidents über die Registerkarte „Überprüfung nach Incidents“ einrichten und herunterladen.
Der Sicherheitsadministrator kann die Berichtsvorlagen erstellen und konfigurieren und diese Vorlagen mithilfe der Berichtskonfiguration dem Security Incident zuordnen. Ein Sicherheitsanalyst kann den Bericht dann anzeigen oder herunterladen, nachdem der Security Incident gelöst und der Status in den Status „Überprüfen“ aktualisiert wurde.
- Berichtsvorlagen : Passen Sie die folgenden Berichtsvorlagenfunktionen an, und konfigurieren Sie sie, um dem Bericht zusätzliche Informationen hinzuzufügen:
- Zeitleiste
- Branding
- Vorlagenskripts
- Berichtkonfiguration
In diesem Abschnitt wird das Konfigurationsverfahren beschrieben:
Berichtsvorlagen
Verwenden Sie den Abschnitt „Berichtsvorlagen“, um primäre und zusätzliche Berichtsvorlagen zu erstellen, die auf die Security Incidents angewendet werden , um den Bericht zur Überprüfung nach Incidents zu generieren. Sie können den Bericht basierend auf Ihren Anforderungen formatieren und konfigurieren. Die Vorlagen helfen Ihnen auch, die Bewertungsdetails in die Vorlage aufzunehmen.
- Branding-Informationen werden konfiguriert.
- Seitengröße und Seitenrand werden eingerichtet.
- Hinzufügen von Security Incident-bezogenen Feldern (anwenderdefiniert und Standard).
- Mit den folgenden vordefinierten anwenderdefinierten Token:
- $sessionUser: Gibt den angemeldeten Anwendernamen zurück
- $date: Gibt das aktuelle Datum zurück
- $if_not_null_start & $if_not_null_end: Wenn diese Tags für Felder verwendet werden, werden die Tags nur angezeigt, wenn der Wert vorhanden ist. Beispiel:
- ${if_not_null_start:problem}
- Problem Category: ${problem.category}
- ${if_not_null_end:problem}
- Einschließlich der zugehörigen Listendaten mithilfe der Vorlagenskripts. Weitere Informationen finden Sie im Abschnitt unten auf Vorlagenskripts .
- Einschließlich der Zeitleisteninformationen mithilfe der Zeitleistenfilter. Weitere Informationen finden Sie im Abschnitt unten auf Zeitleiste .
- Verwalten und Formatieren des Vorlageninhalts wie Anhänge, Tabellen und Bilder.
- Die an die Berichtsvorlage angehängten Bilder werden im Bericht „Überprüfung nach Incidents “ nur angezeigt, wenn sie in der Tabelle „sys_attachment“ enthalten sind. Hinweis:Bilder, die aus der Tabelle „DB_image“ ausgewählt wurden, werden im Bericht zur Überprüfung nach Incident nicht angezeigt.
- Videos werden im Bericht zur Überprüfung nach Incident nicht unterstützt.
- Die URLs in der PDF-Datei können nicht angeklickt werden. Zum Aktivieren der nicht anklickbaren URLs (.) Ist als (Punkt) gekennzeichnet.
- Der Bericht wird nicht generiert, wenn die Größe der Berichtsvorlage 50 MB überschreitet.
- Die für den Inhalt der Berichtsvorlage ausgewählte Schriftartfamilie wird nicht auf die PDF-Datei angewendet, wenn sie vom PDF-Generator nicht unterstützt wird. Hinweis:Wenn die entsprechende Schriftart nicht vorhanden ist, identifiziert der PDF-Generator die alternative nächstgelegene Schriftart und generiert dann die PDF.
- Wenn Sie höhere Seitenmargenwerte angeben, ist das Generieren des Berichts zur Überprüfung nach Incident fehlgeschlagen. Beispiel: Oberer und unterer Rand > 450 und linker und rechter Rand > 450.
- Wenn in der Berichtsvorlage ein großer Text ohne Leerzeichen enthalten ist, kann der Text gekürzt werden. Zeigen Sie eine Vorschau des Texts an, und ändern Sie ihn entsprechend.
Der Sicherheitsadministrator kann eine Vorschau des Berichts mit anzeigen Vorschau Des Berichts Anzeigen Schaltfläche, die auf der Seite „Berichtsvorlage“ verfügbar ist.
Wählen Sie einen Security Incident aus, um eine Vorschau eines Berichts mit dieser Vorlage anzuzeigen Und klicken Sie auf Vorschau Des Berichts Anzeigen .
Branding
Sie können den Namen der Branding-Vorlage, das Kopf- und Fußzeilenbild, den Kopf- und Fußzeilentext hinzufügen, Seitenzahlen generieren und den Branding-Datensatz nach der Erstellung in die Berichtsvorlage aufnehmen.
Im Folgenden finden Sie ein Beispiel für das Branding-Berichtsformat:
- Die maximal zulässige Größe für Kopf- und Fußzeilenbild beträgt 5 MB. Wenn die Größe den angegebenen Grenzwert überschreitet, wird im Security Incident die Fehlermeldung „Bildformat kann nicht erkannt werden“ angezeigt.
- Die Länge des Fußzeilentexts ist auf 100 Zeichen beschränkt.
- Wenn sich der Text des Fußzeilenbilds und der Berichtsinhalt während der Vorschau überschneiden, müssen Sie Änderungen am Branding-Datensatz vornehmen.
- Wenn der Fußzeilentext einen URL-Link enthält, kann er sich mit dem Fußzeilenbild überschneiden. Zeigen Sie eine Vorschau an, und korrigieren Sie sie nach Bedarf.
Zeitleiste
Mit der Zeitleistenkonfiguration können Sie die Zeitleistenfilter nach Bedarf erstellen und ändern. Sie können die Aktivitätstypen filtern, die in den Bericht aufgenommen werden sollen, konfigurieren, ob die untergeordneten Aufgaben in den Bericht aufgenommen oder ausgeschlossen werden sollen, und konfigurieren, ob die Bilder in den Bericht aufgenommen oder ausgeschlossen werden sollen.
Wenn Sie eine Zeitleistenkonfiguration verwenden und ausfüllen möchten, müssen Sie das Tag wie unten erwähnt hinzufügen: ${timeline:timeline name}. Zwei Beispiel-Zeitleistenkonfigurationen werden in der Einrichtung bereitgestellt, die in der Phishing-Berichtsvorlage und der Standardberichtsvorlage verwendet werden. Sie können die Konfigurationen ändern und wiederverwenden.
Vorlagenskripts
Verwenden Sie die Vorlagenskripts, um die Daten der zugehörigen Listen, den Datums- und Zeitstempel und alle anderen Daten einzubeziehen, die nicht direkt DOT-Walking-fähig sind. Nachfolgend finden Sie ein Beispiel:
- Um die zugehörigen Listendaten vorzubereiten, rufen Sie die Methode „PostIncidentReportUtils.fetchRelatedListDataForReport“ auf.
- Um die Schritt1-Daten im Tabellenformat und -Stil darzustellen, rufen Sie die Methode „ReportTemplateUtil.constructTablefunction“ auf.
Wenn Sie ein Vorlagenskript verwenden und ausfüllen möchten, müssen Sie das Tag-Vorlagenskript-Tag als hinzufügen ${template_script:script name}.
| Skriptname | Beschreibung |
|---|---|
| Formatted_current_date | Gibt das aktuelle lokale Datum und die aktuelle Uhrzeit im Format DMMJJJ 00,00 AM oder PM zurück. Beispiel: 21. Januar 2021 15:51 PM PST. |
| si_affected_users | Gibt die betroffenen Anwender aus der zugehörigen Liste in tabellarischer Form zurück. |
| si_Assessments | Gibt die Ergebnisse der Bewertung nach dem Incident in einem tabellarischen Formular zurück. |
| si_associated_phish_emails | Gibt die zugehörigen Phishing-E-Mails aus der zugehörigen Liste in tabellarischer Form zurück. |
| si_associated_phish_headers | Gibt die zugehörigen Phishing-Header aus der zugehörigen Liste in tabellarischer Form zurück. |
| si_Business_Relevanz | Gibt farbcodierten Geschäftsrelevanzwert zurück. |
| si_böswillig_observables | Gibt die schädlichen erkennbaren Elemente aus der zugehörigen Liste in tabellarischer Form zurück. |
| si_observables | Gibt die erkennbaren Elemente aus der zugehörigen Liste in tabellarischer Form zurück. |
| si_Priority | Gibt farbcodierten Prioritätswert zurück. |
| si_response_Tasks | Gibt die Antwortaufgaben aus der zugehörigen Liste in tabellarischer Form zurück. |
| si_time_to_identify | Gibt die aufgewendete Dauer im Status „Entwurf“ und „Analyse“ zurück. |
| si_time_to_resolve | Gibt die Zeit bis zur Lösung des Incidents zurück. |
- Wenn eine zugehörige Liste mit mehr als 5 Spalten hinzugefügt wird, werden die Tabellendaten während der PDF-Generierung gekürzt. Die Mindestbreite jeder Spalte ist auf 124 px festgelegt.
- Wenn ein Vorlagenskript den Inhalt in der Berichtsvorlage aufgrund technischer Probleme nicht laden kann, wird im Bericht die Fehlermeldung „Fehler beim Auswerten des Vorlagenskripts“ angezeigt, und der Sicherheitsadministrator muss die Richtigkeit des Skripts bewerten, um das Problem zu beheben.
- si_Assessments: Standardmäßig werden alle Bewertungskategorien dem Bericht hinzugefügt. Der Sicherheitsadministrator kann die Daten filtern, indem er das Vorlagenskript nach Bedarf ändert. Fügen Sie hinzu categories: sys_id1, sys_id2;Parameter zum Filtern der Daten.
- Zeit bis zur Lösung und Zeit bis zur Identifizierung von Skripts: Verwenden Sie die Definitionsdatensätze, die Teil der zugehörigen Metrikliste sind. Wenn die Definitionsdatensätze für den Security Incident nicht verfügbar sind, erstellen oder fügen Sie diese Definitionsdatensätze hinzu, um die Werte für die beiden Felder auszufüllen.
Standardmäßig hat der Sicherheitsadministrator keinen Zugriff zum Anzeigen der Versionsdatensätze einer Tabelle. Sie müssen die Administratorrolle hinzufügen, um auf die Versionsdatensätze zuzugreifen und die vorherige Version wiederherzustellen.
Berichtkonfiguration
Verwenden Sie den Abschnitt „Berichtskonfiguration“, um die Bedingungen einzurichten und die Berichtsvorlagen auf die Security Incidents anzuwenden. Sie können einen primären Bericht und eine oder mehrere zusätzliche Berichtsvorlagen derselben Bedingung hinzufügen.
Im Folgenden finden Sie eine Beispielbedingung, die zum Anwenden der Phishing-Berichtsvorlage auf die Phishing-Kategorie-Incidents und der anderen zum Anwenden der Standardberichtsvorlage auf alle Security Incidents bereitgestellt wird. Die Standardberichtsvorlage wird auf die Security Incidents angewendet , wenn die Bedingungen nicht erfüllt sind.
Verfahren zum Deaktivieren der neuen Implementierung
- Deaktivieren Sie die folgenden Business-Regeln:
- PIR-PDF generieren
- Erstellen Sie Wissen Bei Abschluss Neu
- Aktivieren Sie die folgenden Business-Regeln:
- PIR generieren, wenn überprüft und geschlossen wird
- Erstellen Sie Wissen Beim Abschluss
- [PIR bei Abschluss/Abbrechen/Löschen neu laden]
- UI-Regel aktivieren, Hide PIR field when empty.
- Wechseln Sie zum Formularlayout im Security Incident-Formular. Unter Überprüfung Nach Incident Abschnitt:
- Entfernen Sie die PIR-Berichtsauswahl aus dem PIR-Abschnitt
- Fügen Sie dem PIR-Abschnitt das Feld „Bericht nach Incident“ hinzu
Konfigurieren Sie die Berichtseigenschaften für die Überprüfung nach Incidents (PIR) für untergeordnete Security Incidents
- sn_si.generate_pir_report_for_child_si
- sn_si.include_child_si_timeline_in_pir
| Eigenschaft | Nutzung |
|---|---|
| sn_si.generate_pir_report_for_child_si | Option zum Aktivieren der Generierung von Berichten zur Überprüfung nach Incidents (PIR) für untergeordnete Security Incidents.
|
| sn_si.include_child_si_timeline_in_pir | Option zum Einbeziehen der Zeitleiste der untergeordneten Security Incidents in den PIR-Bericht des übergeordneten Security Incidents.
|