Rapport d'examen post-incident

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 8 minutes de lecture

    • La fonctionnalité Rapports de revue post-incident (PIR) vous permet de configurer et de télécharger les rapports de revue post-incident à l’aide de l’onglet Revue post-incident.

    L’administrateur de sécurité peut créer et configurer les modèles de rapport et mapper ces modèles à l’incident de sécurité à l’aide de la configuration du rapport. Un analyste de sécurité peut ensuite consulter ou télécharger le rapport une fois que l’incident de sécurité est résolu et que l’état est mis à jour sur l’état Révision.

    Un rapport PDF est généré et joint à l’incident de sécurité lorsque l’incident passe à l’état Fermé après une configuration réussie.
    Remarque :
    La fonctionnalité de rapports est applicable et prise en charge à partir d’Orlando Patch9.
    Pour personnaliser vos rapports de revue post-incident, vous devez effectuer la configuration suivante.
    1. Modèles de rapport : personnalisez et configurez les fonctionnalités de modèle de rapport suivantes pour ajouter des informations supplémentaires au rapport :
      1. Chronologie
      2. Marques
      3. Scripts de modèle
    2. Configuration du rapport

    Cette section décrit la procédure de configuration :

    Modèles de rapports

    Utilisez la section Modèles de rapport pour créer des modèles de rapport primaires et supplémentaires appliqués aux incidents de sécurité en vue de générer le rapport de revue post-incident. Vous pouvez formater et configurer le rapport en fonction de vos besoins. Les modèles vous aident également à inclure les détails de l’évaluation dans le modèle.

    Voici quelques étapes facultatives qui peuvent être effectuées lors de la création du modèle :
    1. Configuration des informations de marque.
    2. Configurer la taille et la marge de la page.
    3. Ajout de champs liés aux incidents de sécurité (personnalisés et standard)
    4. À l’aide des jetons personnalisés prédéfinis suivants :
      1. $sessionUser: renvoie le nom d’utilisateur connecté
      2. $date: renvoie la date actuelle
      3. $if_not_null_start & $if_not_null_end: si ces balises sont utilisées sur n’importe quel champ, les balises sont affichées uniquement si la valeur existe. Par exemple :
        • ${if_not_null_start:problem}
        • Problem Category: ${problem.category}
        • ${if_not_null_end:problem}
    5. Inclusion des données de la liste connexe à l’aide des scripts de modèle. Pour plus d’informations, consultez la section ci-dessous sur les scripts de modèle.
    6. Inclusion des informations de chronologie à l’aide des filtres de chronologie. Pour plus d’informations, consultez la section ci-dessous sur la chronologie.
    7. Gestion et mise en forme du contenu du modèle, comme les pièces jointes, les tableaux et les images.
    Remarque :
    Les fonctionnalités améliorées de la barre d’outils du modèle de rapport sont disponibles uniquement à partir de la version Paris.
    Points clés des modèles de rapports :
    1. Les images jointes au modèle de rapport ne sont affichées dans le rapport de revue post-incident que lorsqu’elles sont incluses dans la table sys_attachment.
      Remarque :
      Les images sélectionnées dans la table des db_image ne seront pas affichées dans le rapport de revue post-incident.
    2. Les vidéos ne sont pas prises en charge dans le rapport de revue post-incident.
    3. Les URL dans le PDF ne sont pas cliquables. Pour activer les URL, non cliquable (.) est notée (point).
    4. Le rapport n’est pas généré si la taille du modèle de rapport dépasse 50 Mo.
    5. La famille de polices sélectionnée pour le contenu du modèle de rapport n’est pas appliquée au PDF si elle n’est pas prise en charge par le générateur PDF.
      Remarque :
      Si la police correspondante n’est pas là, le générateur de PDF identifie la police alternative la plus proche, puis génère le PDF.
    6. Si vous indiquez des valeurs de marge de page plus élevées, la génération du rapport de revue post-incident a échoué. Par exemple, la marge supérieure et inférieure > 450 et la marge gauche et droite > 450.
    7. Si un texte volumineux est inclus dans le modèle de rapport sans espace, le texte peut être tronqué. Prévisualisez le texte et modifiez-le en conséquence.

    L’administrateur de sécurité peut prévisualiser le rapport à l’aide du bouton Afficher un aperçu du rapport disponible sur la page Modèle de rapport.

    Remarque :

    Sélectionnez un incident de sécurité pour prévisualiser un rapport avec cette option de modèle, puis cliquez sur Afficher un aperçu du rapport.

    Marques

    Vous pouvez ajouter le nom du modèle de marque, l’image d’en-tête et de pied de page, le texte d’en-tête et de pied de page, générer des numéros de page et inclure l’enregistrement de marque dans le modèle de rapport après sa création.

    Voici un exemple de format de rapport de marque :

    Points clés de la personnalisation du modèle de rapport :
    1. La taille maximale autorisée pour l’image d’en-tête et de pied de page est de 5 Mo. Si la taille dépasse la limite spécifiée, un message d’erreur « Le format d’image ne peut pas être reconnu » s’affiche dans l’incident de sécurité.
    2. La longueur du texte du pied de page est limitée à 100 caractères.
      1. Si le texte de l’image du pied de page et le contenu du rapport se chevauchent lors de la prévisualisation, vous devez apporter des modifications à l’enregistrement de la marque.
      2. Si le texte du pied de page contient un lien URL, il peut se chevaucher sur l’image de pied de page. Prévisualisez-le et corrigez-le selon vos besoins.

    Chronologie

    La configuration de la chronologie vous permet de créer et de modifier les filtres de chronologie selon vos besoins. Vous pouvez filtrer les types d’activités à inclure dans le rapport, configurer si les tâches enfants doivent être incluses ou exclues dans le rapport, et configurer si les images doivent être incluses ou exclues du rapport.

    Si vous souhaitez utiliser et remplir n’importe quelle configuration de chronologie, vous devez ajouter la balise comme indiqué ci-dessous : ${timeline:timeline name}. Deux exemples de configurations de chronologie à titre d’exemple sont fournis dans la configuration et sont utilisés dans le modèle de rapport d’hameçonnage et le modèle de rapport par défaut. Vous pouvez modifier et réutiliser les configurations.

    Scripts de modèle

    Utilisez les scripts de modèle pour inclure les données des listes connexes, l’horodatage et toutes les autres données qui ne sont pas directement accessibles par une remontée pas à pas. Voici un exemple :

    Construisez un script de modèle pour afficher la liste connexe sur un modèle de rapport :
    1. Pour préparer les données de la liste connexe, appelez la méthode PostIncidentReportUtils.fetchRelatedListDataForReport.
    2. Pour représenter les données step1 au format et au style de table, appelez la méthode ReportTemplateUtil.constructTablefunction.

    Si vous souhaitez utiliser et remplir n’importe quel script de modèle, vous devez ajouter la balise de script de modèle de balise en tant que ${template_script:script name}.

    Voici quelques exemples de modèles de scripts fournis pour configurer et modifier vos rapports post-incident.
    Tableau 1.
    Nom de script Description
    formatted_current_date Renvoie la date et l’heure locales actuelles au format JJMMAAA, 00,00 AM ou PM. Par exemple, 21 janv. 2021 15:51 PST.
    si_affected_users Renvoie les utilisateurs affectés de la liste connexe sous forme de tableau.
    si_assessments Renvoie les résultats de l’évaluation post-incident sous forme de tableau.
    si_associated_phish_emails Renvoie les e-mails d’hameçonnage associés de la liste connexe sous forme de tableau.
    si_associated_phish_headers Renvoie les en-têtes d’hameçonnage associés de la liste connexe sous forme de tableau.
    si_business_criticality Renvoie une valeur de criticité opérationnelle codée par couleur.
    si_malicious_observables Renvoie les observables malveillants de la liste connexe sous forme de tableau.
    si_observables Renvoie les observables de la liste connexe sous forme de tableau.
    si_priority Renvoie une valeur de priorité codée par couleur.
    si_response_tasks Renvoie les tâches de réponse de la liste connexe sous forme de tableau.
    si_time_to_identify Renvoie la durée passée à l’état Brouillon et Analyse.
    si_time_to_resolve Renvoie le délai de résolution de l’incident.
    Points clés des scripts de modèle de rapport :
    1. Si une liste connexe de plus de 5 colonnes est ajoutée, les données de table sont tronquées pendant la génération du PDF. La largeur minimale de chaque colonne est définie sur 124 px.
    2. Si un script de modèle n’est pas en mesure de charger le contenu du modèle de rapport en raison de problèmes techniques, un message d’erreur s’affiche sur le rapport, « Erreur lors de l’évaluation du script de modèle » et l’administrateur de sécurité doit évaluer l’exactitude du script pour résoudre le problème.
    3. si_assessments : par défaut, toutes les catégories d’évaluation sont ajoutées au rapport. L’administrateur de sécurité peut filtrer les données en modifiant le script du modèle si nécessaire. Ajoutez le categories: sys_id1,  sys_id2; paramètre pour filtrer les données.
    4. Délai de résolution et temps d’identification des scripts : utilisez les enregistrements de définition qui font partie de la liste connexe des mesures. Si les enregistrements de définition ne sont pas disponibles pour l’incident de sécurité, créez ou ajoutez ces enregistrements de définition pour renseigner les valeurs des deux champs.
    Remarque :

    Par défaut, l’administrateur de sécurité n’a pas accès à l’affichage des enregistrements de version d’une table. Vous devez ajouter un rôle administrateur pour accéder aux enregistrements de version et revenir à la version précédente.

    Configuration du rapport

    Utilisez la section Configuration du rapport pour configurer les conditions et appliquer les modèles de rapport aux incidents de sécurité. Vous pouvez ajouter un rapport primaire et un ou plusieurs modèles de rapport supplémentaires à la même condition.

    Voici un exemple de condition fourni pour appliquer le modèle de rapport d’hameçonnage aux incidents de catégorie d’hameçonnage et l’autre pour appliquer le modèle de rapport par défaut à tous les incidents de sécurité. Le modèle de rapport par défaut sera appliqué aux incidents de sécurité si les conditions ne sont pas remplies.

    Procédure pour désactiver la nouvelle implémentation

    1. Désactivez les règles métier suivantes :
      1. Générer un PDF PIR
      2. Créer un article de base de connaissances à la fermeture Nouveau
    2. Activez les règles métier suivantes :
      1. Générer un PIR quand en cours de révision et de fermeture
      2. Créer un article de base de connaissances à la fermeture
      3. [Régénérer la PIR à la fermeture/l’annulation/la suppression]
    3. Activez la règle d’interface utilisateur, Hide PIR field when empty.
    4. Accédez à la mise en page du formulaire dans le formulaire d’incident de sécurité. Dans la section Revue post-incident :
      1. Supprimer le sélecteur de rapport PIR de la section PIR
      2. Ajouter un champ Rapport post-incident à la section PIR

    Configurer les propriétés du rapport de revue post-incident (PIR) pour les incidents de sécurité enfants

    Vous pouvez configurer les deux propriétés du rapport PIR suivantes pour les incidents de sécurité enfants :
    • sn_si.generate_pir_report_for_child_si
    • sn_si.include_child_si_timeline_in_pir
    Remarque :
    Les utilisateurs disposant du rôle d’administrateur système [admin] peuvent afficher les propriétés. Les utilisateurs disposant du rôle d’administrateur de sécurité [sn_si.admin] peuvent les modifier.
    Tableau 2. Configurer les propriétés du rapport PIR pour les incidents de sécurité enfants
    Propriété Utilisation
    sn_si.generate_pir_report_for_child_si Option permettant d’activer la génération de rapports de revue post-incident (PIR) pour les incidents de sécurité enfants.
    • Type : vrai | faux
    • Valeur par défaut : faux
    • Emplacement : accédez à toutes les propriétés système > > toutes les propriétés.
    sn_si.include_child_si_timeline_in_pir Option permettant d’inclure la chronologie des incidents de sécurité enfants dans le rapport PIR de l’incident de sécurité parent.
    • Type : vrai | faux
    • Valeur par défaut : faux
    • Emplacement : accédez à toutes les propriétés système > > toutes les propriétés.