Prüfbericht nach Incident

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 7 Minuten Lesedauer
  • Mit der Funktion „Berichte nach Incidents überprüfen“ (PIR) können Sie die Berichte zur Überprüfung nach Incidents über die Registerkarte „Überprüfung nach Incidents“ einrichten und herunterladen.

    Der Sicherheitsadministrator kann die Berichtsvorlagen erstellen und konfigurieren und diese Vorlagen mithilfe der Berichtskonfiguration dem Security Incident zuordnen. Ein Sicherheitsanalyst kann den Bericht dann anzeigen oder herunterladen, nachdem der Security Incident gelöst und der Status in den Status „Überprüfen“ aktualisiert wurde.

    Ein PDF-Bericht wird generiert und an den Security Incident angehängt, wenn der Incident nach erfolgreicher Konfiguration in den Status „Geschlossen“ verschoben wird.
    Hinweis:
    Die Berichtsfunktion ist anwendbar und wird von Orlando Patch9 unterstützt.
    Um Ihre Berichte zur Überprüfung nach Incident anzupassen, müssen Sie die folgende Konfiguration vornehmen.
    1. Berichtsvorlagen : Passen Sie die folgenden Berichtsvorlagenfunktionen an, und konfigurieren Sie sie, um dem Bericht zusätzliche Informationen hinzuzufügen:
      1. Zeitleiste
      2. Branding
      3. Vorlagenskripts
    2. Berichtkonfiguration

    In diesem Abschnitt wird das Konfigurationsverfahren beschrieben:

    Berichtsvorlagen

    Verwenden Sie den   Abschnitt „Berichtsvorlagen“, um primäre und zusätzliche Berichtsvorlagen zu erstellen, die auf die Security Incidents angewendet werden , um  den  Bericht zur Überprüfung nach Incidents zu generieren. Sie können   den Bericht basierend auf Ihren Anforderungen formatieren und konfigurieren.  Die Vorlagen helfen Ihnen auch, die Bewertungsdetails in die Vorlage aufzunehmen.

    Im Folgenden sind einige optionale Schritte aufgeführt, die beim Erstellen der Vorlage ausgeführt werden können:
    1. Branding-Informationen werden konfiguriert.
    2. Seitengröße und Seitenrand werden eingerichtet.
    3. Hinzufügen von Security Incident-bezogenen Feldern (anwenderdefiniert und Standard).
    4. Mit den folgenden vordefinierten anwenderdefinierten Token:   
      1. $sessionUser: Gibt den angemeldeten Anwendernamen zurück
      2. $date: Gibt das aktuelle Datum zurück
      3. $if_not_null_start & $if_not_null_end: Wenn diese Tags für Felder verwendet werden, werden die Tags nur angezeigt, wenn der Wert vorhanden ist.  Beispiel:   
        • ${if_not_null_start:problem}
        • Problem Category: ${problem.category}
        • ${if_not_null_end:problem}
    5. Einschließlich der zugehörigen Listendaten mithilfe der Vorlagenskripts. Weitere Informationen finden Sie im Abschnitt unten auf Vorlagenskripts .
    6. Einschließlich der Zeitleisteninformationen mithilfe der Zeitleistenfilter. Weitere Informationen finden Sie im Abschnitt unten auf Zeitleiste .
    7. Verwalten und Formatieren des Vorlageninhalts wie Anhänge, Tabellen und Bilder.
    Hinweis:
    Die erweiterten Funktionen der Symbolleiste für Berichtsvorlagen sind nur ab der Pariser Release-Version verfügbar.
    Schlüsselpunkte von Berichtsvorlagen:
    1. Die an die Berichtsvorlage angehängten Bilder werden im Bericht „Überprüfung nach Incidents  “ nur angezeigt, wenn sie in der Tabelle „sys_attachment“ enthalten sind.  
      Hinweis:
      Bilder, die aus der Tabelle „DB_image“ ausgewählt wurden, werden im Bericht zur Überprüfung nach Incident nicht angezeigt.
    2. Videos werden im Bericht zur Überprüfung nach Incident nicht unterstützt.
    3. Die URLs in der PDF-Datei können nicht angeklickt werden. Zum Aktivieren der nicht anklickbaren URLs (.) Ist als (Punkt) gekennzeichnet.
    4. Der Bericht wird nicht generiert, wenn die Größe der Berichtsvorlage 50 MB überschreitet.  
    5. Die für den Inhalt der Berichtsvorlage ausgewählte Schriftartfamilie wird nicht auf die PDF-Datei angewendet, wenn sie vom PDF-Generator nicht unterstützt wird.
      Hinweis:
      Wenn die entsprechende Schriftart nicht vorhanden ist, identifiziert der PDF-Generator die alternative nächstgelegene Schriftart und generiert dann die PDF.
    6. Wenn Sie höhere Seitenmargenwerte angeben, ist das Generieren des Berichts zur Überprüfung nach Incident fehlgeschlagen. Beispiel: Oberer und unterer Rand > 450 und linker und rechter Rand > 450.
    7. Wenn in der Berichtsvorlage ein großer Text ohne Leerzeichen enthalten ist, kann der Text gekürzt werden. Zeigen Sie eine Vorschau des Texts an, und ändern Sie ihn entsprechend.

    Der Sicherheitsadministrator kann eine Vorschau des Berichts mit anzeigen Vorschau Des Berichts Anzeigen Schaltfläche, die auf der Seite „Berichtsvorlage“ verfügbar ist.

    Hinweis:

    Wählen Sie einen Security Incident aus, um eine Vorschau eines Berichts mit dieser Vorlage anzuzeigen Und klicken Sie auf Vorschau Des Berichts Anzeigen .

    Branding

    Sie können den Namen der Branding-Vorlage, das Kopf- und Fußzeilenbild, den Kopf- und Fußzeilentext hinzufügen, Seitenzahlen generieren und den Branding-Datensatz nach der Erstellung in die Berichtsvorlage aufnehmen.

    Im Folgenden finden Sie ein Beispiel für das Branding-Berichtsformat:

    Schlüsselpunkte des Brandings für Berichtsvorlagen:
    1. Die maximal zulässige Größe für Kopf- und Fußzeilenbild beträgt 5 MB. Wenn die Größe den angegebenen Grenzwert überschreitet, wird im Security Incident die Fehlermeldung „Bildformat kann nicht erkannt werden“ angezeigt.
    2. Die Länge des Fußzeilentexts ist auf 100 Zeichen beschränkt.
      1. Wenn sich der Text des Fußzeilenbilds und der Berichtsinhalt während der Vorschau überschneiden, müssen Sie Änderungen am Branding-Datensatz vornehmen.
      2. Wenn der Fußzeilentext einen URL-Link enthält, kann er sich mit dem Fußzeilenbild überschneiden. Zeigen Sie eine Vorschau an, und korrigieren Sie sie nach Bedarf.

    Zeitleiste

    Mit der Zeitleistenkonfiguration können Sie die Zeitleistenfilter nach Bedarf erstellen und ändern. Sie können  die Aktivitätstypen filtern, die in den Bericht aufgenommen werden sollen, konfigurieren, ob die untergeordneten Aufgaben in den Bericht aufgenommen oder ausgeschlossen werden sollen, und konfigurieren, ob die Bilder in den Bericht aufgenommen oder ausgeschlossen werden sollen.

    Wenn Sie eine Zeitleistenkonfiguration verwenden und ausfüllen möchten, müssen Sie das Tag wie unten erwähnt hinzufügen: ${timeline:timeline name}. Zwei   Beispiel-Zeitleistenkonfigurationen werden  in der Einrichtung bereitgestellt, die in der Phishing-Berichtsvorlage und der Standardberichtsvorlage verwendet werden.  Sie können die Konfigurationen ändern und wiederverwenden.  

    Vorlagenskripts

    Verwenden Sie die Vorlagenskripts, um die Daten der zugehörigen Listen, den Datums- und Zeitstempel und alle anderen Daten einzubeziehen, die nicht direkt DOT-Walking-fähig sind. Nachfolgend finden Sie ein Beispiel:

    Erstellen Sie ein Vorlagenskript, um die zugehörige Liste in der Berichtsvorlage anzuzeigen :
    1. Um die zugehörigen Listendaten vorzubereiten, rufen Sie die Methode „PostIncidentReportUtils.fetchRelatedListDataForReport“ auf.
    2. Um die Schritt1-Daten im Tabellenformat und -Stil darzustellen, rufen Sie die Methode „ReportTemplateUtil.constructTablefunction“ auf.

    Wenn Sie ein Vorlagenskript verwenden und ausfüllen möchten, müssen Sie das Tag-Vorlagenskript-Tag als hinzufügen ${template_script:script name}.

    Im Folgenden finden Sie einige Beispielvorlagenskripts, die zum Konfigurieren und Ändern Ihrer Berichte nach Incident bereitgestellt werden.
    Tabelle : 1.
    Skriptname Beschreibung
    Formatted_current_date Gibt das aktuelle lokale Datum und die aktuelle Uhrzeit im Format DMMJJJ 00,00 AM oder PM zurück. Beispiel: 21. Januar 2021 15:51 PM PST.
    si_affected_users Gibt die betroffenen Anwender aus der zugehörigen Liste in tabellarischer Form zurück.
    si_Assessments Gibt die Ergebnisse der Bewertung nach dem Incident in einem tabellarischen Formular zurück.
    si_associated_phish_emails Gibt die zugehörigen Phishing-E-Mails aus der zugehörigen Liste in tabellarischer Form zurück.
    si_associated_phish_headers Gibt die zugehörigen Phishing-Header aus der zugehörigen Liste in tabellarischer Form zurück.
    si_Business_Relevanz Gibt farbcodierten Geschäftsrelevanzwert zurück.
    si_böswillig_observables Gibt die schädlichen erkennbaren Elemente aus der zugehörigen Liste in tabellarischer Form zurück.
    si_observables Gibt die erkennbaren Elemente aus der zugehörigen Liste in tabellarischer Form zurück.
    si_Priority Gibt farbcodierten Prioritätswert zurück.
    si_response_Tasks Gibt die Antwortaufgaben aus der zugehörigen Liste in tabellarischer Form zurück.
    si_time_to_identify Gibt die aufgewendete Dauer im Status „Entwurf“ und „Analyse“ zurück.
    si_time_to_resolve Gibt die Zeit bis zur Lösung des Incidents zurück.
    Schlüsselpunkte der Berichtsvorlagenskripts:
    1. Wenn eine zugehörige Liste mit mehr als 5 Spalten hinzugefügt wird, werden die Tabellendaten während der PDF-Generierung gekürzt.  Die Mindestbreite jeder Spalte ist auf 124 px festgelegt.
    2. Wenn ein Vorlagenskript den Inhalt in der Berichtsvorlage aufgrund technischer Probleme nicht laden kann, wird im Bericht die Fehlermeldung „Fehler beim Auswerten des Vorlagenskripts“ angezeigt, und der Sicherheitsadministrator muss die Richtigkeit des Skripts bewerten, um das Problem zu beheben.
    3. si_Assessments: Standardmäßig werden alle Bewertungskategorien dem Bericht hinzugefügt. Der Sicherheitsadministrator kann die Daten filtern, indem er das Vorlagenskript nach Bedarf ändert. Fügen Sie hinzu categories: sys_id1,  sys_id2;Parameter zum Filtern der Daten.
    4. Zeit bis zur Lösung und Zeit bis zur Identifizierung von Skripts: Verwenden Sie die Definitionsdatensätze, die Teil der zugehörigen Metrikliste sind. Wenn die Definitionsdatensätze für den Security Incident nicht verfügbar sind, erstellen oder fügen Sie diese Definitionsdatensätze hinzu, um die Werte für die beiden Felder auszufüllen.
    Hinweis:

    Standardmäßig hat der Sicherheitsadministrator keinen Zugriff zum Anzeigen der Versionsdatensätze einer Tabelle. Sie müssen die Administratorrolle hinzufügen, um auf die Versionsdatensätze zuzugreifen und die vorherige Version wiederherzustellen.

    Berichtkonfiguration

    Verwenden Sie den Abschnitt „Berichtskonfiguration“, um die Bedingungen einzurichten und die Berichtsvorlagen auf die Security Incidents anzuwenden. Sie können einen primären Bericht und eine oder mehrere zusätzliche Berichtsvorlagen derselben Bedingung hinzufügen.

    Im Folgenden finden Sie eine Beispielbedingung, die zum Anwenden der Phishing-Berichtsvorlage auf die Phishing-Kategorie-Incidents und der anderen zum Anwenden der Standardberichtsvorlage auf alle Security Incidents bereitgestellt wird.   Die Standardberichtsvorlage wird auf die Security Incidents angewendet , wenn die Bedingungen nicht erfüllt sind.

    Verfahren zum Deaktivieren der neuen Implementierung

    1. Deaktivieren Sie die folgenden Business-Regeln:
      1. PIR-PDF generieren
      2. Erstellen Sie Wissen Bei Abschluss Neu
    2. Aktivieren Sie die folgenden Business-Regeln:
      1. PIR generieren, wenn überprüft und geschlossen wird
      2. Erstellen Sie Wissen Beim Abschluss
      3. [PIR bei Abschluss/Abbrechen/Löschen neu laden]
    3. UI-Regel aktivieren, Hide PIR field when empty.
    4. Wechseln Sie zum Formularlayout im Security Incident-Formular. Unter Überprüfung Nach Incident Abschnitt:
      1. Entfernen Sie die PIR-Berichtsauswahl aus dem PIR-Abschnitt
      2. Fügen Sie dem PIR-Abschnitt das Feld „Bericht nach Incident“ hinzu

    Konfigurieren Sie die Berichtseigenschaften für die Überprüfung nach Incidents (PIR) für untergeordnete Security Incidents

    Sie haben die Möglichkeit, die folgenden zwei PIR-Berichtseigenschaften für untergeordnete Security Incidents zu konfigurieren:
    • sn_si.generate_pir_report_for_child_si
    • sn_si.include_child_si_timeline_in_pir
    Hinweis:
    Anwender mit der Rolle „Systemadministrator“ [admin] können die Eigenschaften anzeigen. Anwender mit der Rolle „Sicherheitsadministrator“ [sn_si.admin] können sie ändern.
    Tabelle : 2. Konfigurieren Sie PIR-Berichtseigenschaften für untergeordnete Security Incidents
    Eigenschaft Nutzung
    sn_si.generate_pir_report_for_child_si Option zum Aktivieren der Generierung von Berichten zur Überprüfung nach Incidents (PIR) für untergeordnete Security Incidents.
    • Typ : Wahr | falsch
    • Standardwert : Falsch
    • Standort : Navigieren Sie zu alle > Systemeigenschaften > alle Eigenschaften.
    sn_si.include_child_si_timeline_in_pir Option zum Einbeziehen der Zeitleiste der untergeordneten Security Incidents in den PIR-Bericht des übergeordneten Security Incidents.
    • Typ : Wahr | falsch
    • Standardwert : Falsch
    • Standort : Navigieren Sie zu alle > Systemeigenschaften > alle Eigenschaften.