Relatório de análise pós-incidente
O recurso de relatórios de análise pós-incidente (PIR) permite que você configure e baixe os relatórios de análise pós-incidente usando a guia Análise pós-incidente.
O administrador de segurança pode criar e configurar os modelos de relatório e mapear esses modelos para o incidente de segurança usando a configuração de relatório. Um analista de segurança pode exibir ou baixar o relatório depois que o incidente de segurança é resolvido e o status é atualizado para o estado Revisão.
- Modelos de relatório: personalize e configure os seguintes recursos de modelo de relatório para adicionar informações adicionais ao relatório:
- Linha do tempo
- Identidade visual
- Scripts do Modelo
- Configuração de Relatório
Esta seção descreve o procedimento de configuração:
Modelos de relatório
Use a seção Modelos de relatório para criar modelos de relatório primário e adicional que são aplicados aos incidentes de segurança para gerar o relatório de análise pós-incidente. Você pode formatar e configurar o relatório com base em seus requisitos. Os modelos também ajudam a incluir os detalhes da avaliação no modelo.
- Configurando as informações de identidade visual.
- Configurar o tamanho e a margem da página.
- Adicionar campos relacionados a incidentes de segurança (personalizados e padrão).
- Usando os seguintes tokens personalizados predefinidos:
- $sessionUser: retorna o nome de usuário conectado
- $date: retorna a data atual
- $if_not_null_start & $if_not_null_end: se esses marcadores forem usados em qualquer campo, os marcadores serão exibidos somente se o valor existir. Por exemplo:
- ${if_not_null_start:problem}
- Problem Category: ${problem.category}
- ${if_not_null_end:problem}
- Incluindo os dados da lista relacionada usando os scripts do modelo. Para obter mais informações, consulte a seção abaixo em Scripts de modelo.
- Incluindo as informações da linha do tempo usando os Filtros de linha do tempo. Para obter mais informações, consulte a seção abaixo na Linhado tempo.
- Gerenciar e formatar o conteúdo do modelo, como anexos, tabelas e imagens.
- As imagens anexadas ao modelo de relatório são exibidas no relatório de análise pós-incidente somente quando estão incluídas na tabela sys_attachment.Nota:As imagens selecionadas na tabela db_image não serão exibidas no relatório de análise pós-incidente.
- Os vídeos não são compatíveis com o relatório de análise pós-incidente.
- Os URLs no PDF não são clicáveis. Para habilitar os URLs não clicáveis (.) é indicado como (ponto).
- O relatório não será gerado se o tamanho do modelo de relatório exceder 50 MB.
- A família de fontes selecionada para o conteúdo do modelo de relatório não será aplicada ao PDF se não for compatível com o gerador de PDF. Nota:Se a fonte correspondente não estiver lá, o gerador de PDF identificará a fonte alternativa mais próxima e gerará o PDF.
- Se você fornecer valores de margem de página mais altos, haverá falha na geração do relatório de análise pós-incidente. Por exemplo, Margem superior e inferior > 450 e Margem esquerda e direita > 450.
- Se um texto grande for incluído no modelo de relatório sem espaços, o texto poderá ficar truncado. Visualize o texto e modifique-o de acordo.
O administrador de segurança pode visualizar o relatório usando o botão Visualizar relatório disponível na página Modelo de relatório.
Selecione um incidente de segurança para visualizar um relatório com esta opção de modelo e clique em Visualizar relatório.
Identidade visual
Você pode adicionar o nome do modelo de identidade visual, a imagem do cabeçalho e rodapé, o texto do cabeçalho e rodapé, gerar números de página e incluir o registro de identidade visual no modelo de relatório após sua criação.
A seguir está um exemplo de formato de relatório de identidade visual:
- O tamanho máximo permitido para a imagem do cabeçalho e do rodapé é de 5 MB. Se o tamanho exceder o limite especificado, uma mensagem de erro "O formato da imagem não pode ser reconhecido" será exibida no incidente de segurança.
- O tamanho do texto do rodapé está limitado a 100 caracteres.
- Se o texto da imagem do rodapé e o conteúdo do relatório forem sobrepostos durante a visualização, você deverá fazer mudanças no registro de identidade visual.
- Se o texto do rodapé contiver link de URL, ele poderá se sobrepor à imagem do rodapé. Visualize e corrija conforme necessário.
Linha do tempo
A configuração da linha do tempo permite criar e modificar os filtros da linha do tempo conforme necessário. Você pode filtrar os tipos de atividade que devem ser incluídos no relatório, configurar se as tarefas secundárias devem ser incluídas ou excluídas no relatório e configurar se as imagens devem ser incluídas ou excluídas do relatório.
Se você quiser utilizar e preencher qualquer configuração de linha do tempo, deverá adicionar o marcador conforme mencionado abaixo: ${timeline:timeline name}. Duas configurações de linha do tempo de exemplo são fornecidas na configuração que são usadas no modelo de relatório de phishing e no modelo de relatório padrão. Você pode modificar e reutilizar as configurações.
Scripts do Modelo
Use os scripts de modelo para incluir os dados das listas relacionadas, o carimbo de data/hora e quaisquer outros dados que não sejam diretamente percorridos por pontos. A seguir está um exemplo:
- Para preparar os dados da lista relacionada, chame o método PostIncidentReportUtils.fetchRelatedListDataForReport.
- Para representar os dados da etapa 1 no formato e estilo da tabela, chame o método ReportTemplateUtil.constructTablefunction.
Se você quiser utilizar e preencher qualquer script de modelo, deverá adicionar o marcador de script do modelo de marcador como ${template_script:script name}.
| Nome do script | Descrição |
|---|---|
| data_atual_formatada | Retorna a data e hora locais atuais no formato DMMAAAA 00:00 AM ou PM. Por exemplo, 21 de janeiro de 2021 3:51 PM PST. |
| si_afetados_usuários | Retorna os usuários afetados da lista relacionada em um formulário tabular. |
| si_assessments | Retorna os resultados da avaliação pós-incidente em um formulário tabular. |
| si_associated_phish_e-mails | Retorna os e-mails de phishing associados da lista relacionada em um formulário tabular. |
| si_associated_phish_headers | Retorna os cabeçalhos de phishing associados da lista relacionada em um formulário tabular. |
| si_business_criticality | Retorna o valor de criticalidade dos negócios codificado por cores. |
| si_maliciosos_observáveis | Retorna os observáveis maliciosos da lista relacionada em um formulário tabular. |
| si_observáveis | Retorna os observáveis da lista relacionada em um formulário tabular. |
| si_priority | Retorna o valor de prioridade codificado por cores. |
| si_response_tasks | Retorna as tarefas de resposta da lista relacionada em um formulário tabular. |
| si_time_to_identify | Retorna a duração gasta no estado Rascunho e Análise. |
| si_time_to_resolver | Retorna o tempo para resolver o incidente. |
- Se uma lista relacionada for adicionada com mais de 5 colunas, os dados da tabela serão truncados durante a geração do PDF. A largura mínima de cada coluna é definida como 124 px.
- Se um script de modelo não puder carregar o conteúdo no modelo de relatório devido a problemas técnicos, uma mensagem de erro será exibida no relatório, "Erro ao avaliar o script do modelo", e o administrador de segurança deverá avaliar a exatidão do script para resolver o problema. problema.
- si_assessments: por padrão, todas as categorias de avaliação são adicionadas ao relatório. O administrador de segurança pode filtrar os dados modificando o script do modelo conforme necessário. Adicione o parâmetro categories: sys_id1, sys_id2; para filtrar os dados.
- Tempo de resolução e tempo de identificação de scripts: use os registros de definição que fazem parte da lista relacionada à métrica. Se os registros de definição não estiverem disponíveis para o incidente de segurança, crie ou adicione esses registros de definição para preencher os valores dos dois campos.
Por padrão, o administrador de segurança não tem acesso para exibir os registros de versão de qualquer tabela. Você deve adicionar a função de administrador para acessar os registros de versão e reverter para a versão anterior.
Configuração de Relatório
Use a seção Configuração de relatório para configurar as condições e aplicar os modelos de relatório aos incidentes de segurança. Você pode adicionar um relatório primário e um ou mais modelos de relatório adicionais à mesma condição.
A seguir está um exemplo de condição que é fornecido para aplicar o modelo de relatório de phishing aos incidentes da categoria de phishing e outro para aplicar o modelo de relatório padrão a todos os incidentes de segurança. O modelo de relatório padrão será aplicado aos incidentes de segurança se as condições não forem atendidas.
Procedimento para desativar a nova implementação
- Desative as seguintes regras de negócio:
- Gerar PDF de PIR
- Criar novo conhecimento no fechamento
- Ative as seguintes regras de negócio:
- Gerar PIR quando em Revisão e Fechamento
- Criar conhecimento no fechamento
- [Regenerar PIR no fechamento/cancelamento/exclusão]
- Ative a regra de IU, Hide PIR field when empty.
- Acesse o layout do formulário no formulário de incidente de segurança. Na seção Análise pós-incidente :
- Remover seletor de relatório PIR da seção PIR
- Adicionar campo de relatório pós-incidente à seção PIR
Configurar propriedades do relatório de análise pós-incidente (PIR) para incidentes de segurança secundários
- sn_si.generate_pir_report_for_child_si
- sn_si.include_child_si_timeline_in_pir
| Propriedade | Uso |
|---|---|
| sn_si.generate_pir_report_for_child_si | Opção para habilitar a geração de relatórios de análise pós-incidente (PIR) para incidentes de segurança secundários.
|
| sn_si.include_child_si_timeline_in_pir | Opção para incluir a linha do tempo dos incidentes de segurança secundários no relatório PIR do incidente de segurança primário.
|