Rapport de revue post-incident

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 8 minutes de lecture

    • La fonctionnalité Rapports de revue post-incident (PIR) vous permet de configurer et de télécharger les rapports de revue post-incident à l’aide de l’onglet Revue post-incident.

    L’administrateur de sécurité peut créer et configurer des modèles de rapport et mapper ces modèles à l’incident de sécurité à l’aide de la configuration du rapport. Un analyste de sécurité peut ensuite afficher ou télécharger le rapport une fois que l’incident de sécurité est résolu et que l’état est mis à jour sur l’état Révision.

    Un rapport PDF est généré et joint à l’incident de sécurité lorsque celui-ci passe à l’état Fermé une fois sa configuration réussie.
    Remarque :
    La fonctionnalité de rapports est applicable et prise en charge à partir d’Orlando Patch9.
    Pour personnaliser vos rapports de revue post-incident, vous devez procéder à la configuration suivante.
    1. Modèles de rapport : personnalisez et configurez les fonctionnalités de modèle de rapport suivantes pour ajouter des informations supplémentaires au rapport :
      1. Chronologie
      2. Marques
      3. Scripts de modèle
    2. Configuration du rapport

    Cette section décrit la procédure de configuration :

    Modèles de rapports

    Utilisez la section Modèles de rapport pour créer des modèles de rapport primaires et supplémentaires qui sont appliqués aux incidents de sécurité afin de générer le rapport de revue post-incident. Vous pouvez formater et configurer le rapport en fonction de vos besoins. Les modèles vous permettent également d’y inclure les détails de l’évaluation.

    Voici quelques étapes facultatives qui peuvent être effectuées lors de la création du modèle :
    1. Configuration des informations sur la marque.
    2. Définition de la taille et de la marge de la page.
    3. Ajout de champs liés à un incident de sécurité (personnalisés et standard).
    4. À l’aide des jetons personnalisés prédéfinis suivants :
      1. $sessionUser: renvoie le nom d’utilisateur connecté
      2. $date: renvoie la date du jour
      3. $if_not_null_start & $if_not_null_end: si ces balises sont utilisées avec des champs, les balises s’affichent uniquement si la valeur existe. Par exemple :
        • ${if_not_null_start:problem}
        • Problem Category: ${problem.category}
        • ${if_not_null_end:problem}
    5. Inclusion des données de liste connexe à l’aide des scripts de modèle. Pour plus d’informations, consultez la section ci-dessous sur les scripts de modèle.
    6. Inclure les informations de chronologie à l’aide des filtres de chronologie. Pour plus d’informations, consultez la section ci-dessous sur la chronologie.
    7. Gestion et mise en forme du contenu du modèle comme les pièces jointes, les tables et les images.
    Remarque :
    Les fonctionnalités améliorées de la barre d’outils du modèle de rapport ne sont disponibles qu’à partir de la version Paris.
    Points clés des modèles de rapport :
    1. Les images jointes au modèle de rapport ne sont affichées dans le rapport de revue post-incident que lorsqu’elles sont incluses dans la table sys_attachment.
      Remarque :
      Les images sélectionnées dans la table de db_image ne s’afficheront pas dans le rapport d’examen post-incident.
    2. Les vidéos ne sont pas prises en charge dans le rapport d’examen post-incident.
    3. Les URL du PDF ne sont pas cliquables. Pour activer les URL non cliquables (.) est notée (point).
    4. Le rapport n’est pas généré si la taille du modèle de rapport dépasse 50 Mo.
    5. La famille de polices sélectionnée pour le contenu du modèle de rapport ne sera pas appliquée au PDF si elle n’est pas prise en charge par le générateur PDF.
      Remarque :
      Si la police correspondante n’est pas là, le générateur de PDF identifiera la police alternative la plus proche, puis générera le PDF.
    6. Si vous fournissez des valeurs de marge de page plus élevées, la génération d’un rapport de revue post-incident a échoué. Par exemple, les marges supérieure et inférieure > 450 et les marges gauche et droite > 450.
    7. Si un texte de grande taille est inclus dans le modèle de rapport sans espace, le texte peut être tronqué. Prévisualisez le texte et modifiez-le en conséquence.

    L’administrateur de sécurité peut prévisualiser le rapport à l’aide du bouton Aperçu du rapport disponible sur la page Modèle de rapport.

    Remarque :

    Sélectionnez un incident de sécurité pour prévisualiser un rapport avec cette option de modèle et cliquez sur Aperçu du rapport.

    Marques

    Vous pouvez ajouter le nom du modèle de marque, l’image d’en-tête et de pied de page, le texte d’en-tête et de pied de page, générer des numéros de page et inclure l’enregistrement de marque dans le modèle de rapport après sa création.

    Voici un exemple de format de rapport de marque :

    Points clés de la personnalisation du modèle de rapport :
    1. La taille maximale autorisée pour les images d’en-tête et de pied de page est de 5 Mo. Si la taille dépasse la limite spécifiée, un message d’erreur « Impossible de reconnaître le format d’image » s’affiche dans l’incident de sécurité.
    2. La longueur du texte du pied de page est limitée à 100 caractères.
      1. Si le texte de l’image de pied de page et le contenu du rapport se chevauchent lors de l’aperçu, vous devez apporter des modifications à l’enregistrement de la marque.
      2. Si le texte de pied de page contient un lien URL, il se peut qu’il chevauche l’image de pied de page. Prévisualisez-le et corrigez-le selon vos besoins.

    Chronologie

    La configuration de la chronologie vous permet de créer et de modifier les filtres de chronologie selon vos besoins. Vous pouvez filtrer les types d’activité qui doivent être inclus dans le rapport, configurer si les tâches enfants doivent être incluses ou exclues dans le rapport, et configurer si les images doivent être incluses ou exclues dans le rapport.

    Si vous souhaitez utiliser et remplir n’importe quelle configuration de chronologie, vous devez ajouter la balise comme indiqué ci-dessous : ${timeline:timeline name}. À titre d’exemple, deux exemples de configurations de chronologie sont fournis dans la configuration et sont utilisés dans le modèle de rapport d’hameçonnage et le modèle de rapport par défaut. Vous pouvez modifier et réutiliser les configurations.

    Scripts de modèle

    Utilisez les scripts de modèle pour inclure les données des listes connexes, l’horodatage et la date ainsi que toutes les autres données qui ne sont pas directement accessibles par une remontée pas à pas. Voici un exemple :

    Construire un script de modèle pour afficher la liste connexe sur le modèle de rapport :
    1. Pour préparer les données de liste connexe, appelez la méthode PostIncidentReportUtils.fetchRelatedListDataForReport.
    2. Pour représenter les données de l’étape 1 au format et au style de la table, appelez la méthode ReportTemplateUtil.constructTablefunction.

    Si vous souhaitez utiliser et remplir un script de modèle, vous devez ajouter la balise du script de modèle de balise en tant que ${template_script:script name}.

    Vous trouverez ci-dessous quelques exemples de scripts de modèle fournis pour configurer et modifier vos rapports post-incident.
    Nom de script Description
    formatted_current_date Renvoie la date et l’heure locales actuelles au format jjmmaaa 00h00 ou après-midi. Par exemple, 21 janv. 2021 3:51 PM PST.
    si_affected_users Renvoie les utilisateurs affectés de la liste connexe sous forme de tableau.
    si_assessments Renvoie les résultats de l’évaluation post-incident sous forme de tableau.
    si_associated_phish_emails Renvoie les e-mails d’hameçonnage associés de la liste connexe sous forme de tableau.
    si_associated_phish_headers Renvoie les en-têtes d’hameçonnage associés de la liste connexe sous forme de tableau.
    si_business_criticality Renvoie une valeur de criticité opérationnelle codée par couleur.
    si_malicious_observables Renvoie les observables malveillants de la liste connexe sous forme de tableau.
    si_observables Renvoie les observables de la liste connexe sous forme de tableau.
    si_priority Renvoie une valeur de priorité codée par couleur.
    si_response_tasks Renvoie les tâches de réponse de la liste connexe sous forme de tableau.
    si_time_to_identify Renvoie la durée passée à l’état de brouillon et d’analyse.
    si_time_to_resolve Renvoie l’heure de résolution de l’incident.
    Points clés des scripts de modèle de rapport :
    1. Si une liste connexe de plus de 5 colonnes est ajoutée, les données de table sont tronquées lors de la génération du PDF. La largeur minimale de chaque colonne est définie sur 124 px.
    2. Si un script de modèle ne parvient pas à charger le contenu dans le modèle de rapport en raison de problèmes techniques, un message d’erreur s’affiche sur le rapport « Erreur lors de l’évaluation du script de modèle » et l’administrateur de sécurité doit évaluer l’exactitude du script pour résoudre le problème.
    3. si_assessments : par défaut, toutes les catégories d’évaluation sont ajoutées au rapport. L’administrateur de sécurité peut filtrer les données en modifiant le script de modèle selon les besoins. Ajoutez le categories: sys_id1,  sys_id2; paramètre pour filtrer les données.
    4. Délai de résolution et temps d’identification des scripts : utilisez les enregistrements de définition qui font partie de la liste connexe des mesures. Si les enregistrements de définition ne sont pas disponibles pour l’incident de sécurité, créez ou ajoutez ces enregistrements de définition pour renseigner les valeurs des deux champs.
    Remarque :

    Par défaut, l’administrateur de sécurité n’a pas accès à l’affichage des enregistrements de version d’une table. Vous devez ajouter un rôle administrateur pour accéder aux enregistrements de version et revenir à la version précédente.

    Configuration du rapport

    Utilisez la section Configuration du rapport pour configurer les conditions et appliquer les modèles de rapport aux incidents de sécurité. Vous pouvez ajouter un rapport primaire et un ou plusieurs modèles de rapport supplémentaires à la même condition.

    Voici un exemple de condition fournie pour appliquer le modèle de rapport d’hameçonnage aux incidents de catégorie d’hameçonnage et l’autre condition pour appliquer le modèle de rapport par défaut à tous les incidents de sécurité. Le modèle de rapport par défaut sera appliqué aux incidents de sécurité si les conditions ne sont pas remplies.

    Procédure de désactivation de la nouvelle implémentation

    1. Désactivez les règles métier suivantes :
      1. Générer un PDF PIR
      2. Créer un article de base de connaissances lors de la fermeture Nouveau
    2. Activez les règles métier suivantes :
      1. Générer un rapport post-incident lors de l’examen et de la fermeture
      2. Créer un article de base de connaissances lors de la fermeture
      3. [Régénérer le PIR à la fermeture/à l’annulation/à la suppression]
    3. Activez la règle d’interface utilisateur. Hide PIR field when empty
    4. Accédez à la mise en page du formulaire d’incident de sécurité. Dans la section Revue post-incident :
      1. Supprimer le sélecteur de rapport PIR de la section PIR
      2. Ajouter un champ Rapport post-incident à la section PIR

    Configurer les propriétés du rapport de revue post-incident (PIR) pour les incidents de sécurité enfants

    Vous pouvez configurer les deux propriétés de rapport PIR suivantes pour les incidents de sécurité enfants :
    • sn_si.generate_pir_report_for_child_si
    • sn_si.include_child_si_timeline_in_pir
    Remarque :
    Les utilisateurs disposant du rôle d’administrateur système [admin] peuvent afficher les propriétés. Les utilisateurs disposant du rôle d’administrateur de sécurité [sn_si.admin] peuvent les modifier.
    Tableau 1. Configurer les propriétés du rapport PIR pour les incidents de sécurité enfants
    Propriété Utilisation
    sn_si.generate_pir_report_for_child_si Option permettant d’activer la génération de rapports de revue post-incident (PIR) pour les incidents de sécurité enfants.
    • Type : vrai | faux
    • Valeur par défaut : faux
    • Emplacement : accédez à Toutes les propriétés système > > Toutes les propriétés.
    sn_si.include_child_si_timeline_in_pir Option permettant d’inclure la chronologie des incidents de sécurité enfants dans le rapport PIR de l’incident de sécurité parent.
    • Type : vrai | faux
    • Valeur par défaut : faux
    • Emplacement : accédez à Toutes les propriétés système > > Toutes les propriétés.