Effectuer une revue post-incident basée sur un questionnaire

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Vous pouvez décider qu’un examen post-incident de l’incident de sécurité est justifié. Un examen post-incident décrit ce qui s’est passé, permet de déterminer pourquoi l’incident s’est produit et identifie comment il peut être évité ou géré à l’avenir.

    Avant de commencer

    Rôle requis : sn_si.admin, sn_si.manager, sn_si.analyst
    Remarque :
    Quel que soit son rôle, n’importe quel utilisateur peut participer à un questionnaire de revue post-incident. Les rôles peuvent être affectés à une révision.

    Pourquoi et quand exécuter cette tâche

    L’application ServiceNow Réponse aux incidents de sécurité peut automatiser la collecte d’informations de revue post-incident auprès de toutes les personnes impliquées dans un incident de sécurité à l’aide de questionnaires. Si vous décidez d’utiliser un questionnaire dans le cadre d’une revue post-incident, une liste de questions, en rapport avec l’incident de sécurité, est envoyée à la liste de participants définie par l’utilisateur. Lorsque chaque utilisateur remplit le questionnaire, le rapport post-incident est automatiquement généré. Le rapport compile toutes les informations relatives à l’incident de sécurité, ainsi que toutes les réponses à l’examen post-incident.

    Bien qu’une liste initiale de questions soit fournie avec le système de base, elle est personnalisable. Vous pouvez créer des catégories et y ajouter de nouvelles questions, ou modifier des questions individuelles dans des catégories existantes. Vous pouvez poser des questions en fonction des rôles. Vous pouvez définir à quel moment certaines questions sont posées. Il peut y avoir des questions que vous ne posez que pour vos serveurs UNIX, par exemple, ou uniquement lorsqu’il y a une activité criminelle. Vous pouvez définir les questions qui sont posées en fonction de la réponse à une autre question ou de la valeur d’un champ du formulaire. Il peut même y avoir des questions qui sont entièrement remplies en interrogeant la base de données.

    Une fois l’incident de sécurité résolu et passé à l’état Réviser , les évaluations sont générées pour tous les utilisateurs affectés et ceux qui sont directement ajoutés à partir de la liste Évaluations de demande.

    Le questionnaire peut être un outil utile pour recueillir des informations sur le traitement de l’incident de sécurité à partir de diverses sources.

    Pendant la révision, vous pouvez ajouter d’autres utilisateurs à la liste ou supprimer des utilisateurs existants de la liste, sauf s’ils ont déjà commencé à remplir le questionnaire. Si vous ajoutez de nouveaux utilisateurs à la liste, ils reçoivent les questions lorsque l’enregistrement est sauvegardé. L’incident de sécurité ne peut pas être fermé tant que tous les questionnaires n’ont pas été remplis. Au fur et à mesure que les questionnaires sont remplis par chaque utilisateur, le rapport post-incident est automatiquement généré (et régénéré) et affiché dans l’onglet Revue post-incident .

    Pour commencer une vérification post-incident :

    Procédure

    1. Créez un incident de sécurité ou ouvrez un incident existant en accédant à Incident de sécurité > Incidents > Mes affectations (ou affectées à l’équipe ou aux incidents non affectés).
    2. Cliquez sur l’onglet Revue post-incident .
    3. Le champ Évaluations de la demande est défini par défaut sur la personne dans le champ Affecté à .
      Cliquez sur l’icône de verrou pour ajouter d’autres utilisateurs à la liste de révision. Une fois le champ déverrouillé, des options sont disponibles pour ajouter ou supprimer plusieurs utilisateurs ou rôles ou pour saisir des adresses e-mail d’utilisateur.
    4. Lorsque vous avez terminé vos saisies, cliquez sur l’icône de verrou pour verrouiller le champ.
      Remarque :
      Vous pouvez également définir des conditions qui, lorsqu’elles sont remplies dans un incident de sécurité, peuvent entraîner l’ajout automatique d’utilisateurs spécifiques au champ Évaluations de la demande pour cet incident de sécurité. Par exemple, lorsqu’une catégorie d’incident de sécurité passe à Hameçonnage, des personnes spécifiques ayant de l’expertise dans les menaces de hameçonnage peuvent être ajoutées à la liste d’examen post-incident. Pour plus d'informations, consultez Créer des règles d’affectation PIR.
    5. Cliquez sur Mettre à jour.
      Lorsque l’incident passe à l’état Examiner (ou immédiatement, s’il est déjà à l’état Réviser ), chaque utilisateur de la liste Examiner reçoit une première notification par e-mail. Les rappels sont envoyés à l’approche de la date d’échéance. Lorsque chaque utilisateur accède au questionnaire à partir du lien de l’e-mail ou en accédant à Revue post-incident > Mes vérifications en attente, les questions affichées sont tirées de toutes les catégories qui correspondent à cet incident de sécurité. Si de nouveaux utilisateurs sont ajoutés à la liste de révision avant la date d’échéance, ils reçoivent des notifications lorsque l’incident de sécurité est enregistré.

      Au fur et à mesure que les utilisateurs remplissent leurs questionnaires, le rapport post-incident compile les données et affiche le rapport dans l’onglet Revue post-incident . Les données du questionnaire sont affichées dans l’onglet Résultats .