Documentație
Case Management
CYBERQUEST oferă un modul de case management conceput pentru a ajuta organizațiile și utilizatorii să creeze și să urmărească fluxuri de lucru pentru a aborda rapid incidentele.…
CYBERQUEST oferă un modul de case management conceput pentru a ajuta organizațiile și utilizatorii să creeze și să urmărească fluxuri de lucru pentru a aborda rapid incidentele. Fiecare caz creat are un proprietar care poate atribui colaboratori pentru a îmbunătăți procesul decizional și a eficientiza rezolvarea cazului. Cazul permite adăugarea tuturor dovezilor existente pe baza evenimentului sau a alertei care a dus la crearea cazului.
Prezentare generală
Modulul Case Management poate fi accesat selectând butonul “Case Management” din meniul din partea stângă a Interfeței Web. Interfața principală prezintă o vizualizare cuprinzătoare a tuturor cazurilor, oferind controale intuitive pentru filtrarea, căutarea și gestionarea investigațiilor.
Utilizatorilor li se prezintă pagina Case Management > My Cases, care permite gestionarea cazurilor existente și deschiderea unora noi, după necesitate:

Pentru a iniția o nouă investigație, faceți clic pe butonul NEW CASE.
Pentru a afișa toate cazurile în care utilizatorul autentificat în prezent este proprietarul, selectați comutatorul My Cases.
Pentru a filtra cazurile pe baza stării lor, folosiți meniul derulant Status. Opțiunile disponibile includ:
- All: Afișează fiecare caz din sistem, indiferent de starea sa curentă.
- New: Afișează cazurile create recent care așteaptă trierea și atribuirea inițială.
- Open: Listează investigațiile active aflate în lucru la momentul respectiv de către echipa de securitate.
- Solved - Afișează cazurile marcate ca rezolvate.
Closed - Listează cazurile care au fost finalizate și închise.
Archived - Afișează cazurile care au fost arhivate pentru păstrarea în evidență sau referință viitoare.
Template - O listă derulantă care permite selectarea unui șablon de caz predefinit. Aceste șabloane sunt create și gestionate în secțiunea Case Templates și sunt utilizate pentru a eficientiza crearea cazurilor.
Pentru a localiza un caz specific, folosiți caseta de căutare Quick Filter disponibilă în partea dreaptă a interfeței web.
Toate cazurile sunt afișate în ordine cronologică, cazurile cele mai recent create apărând în partea de sus a listei.
În lista de cazuri, meniul Actions este situat în partea dreaptă și oferă opțiuni de view, export, edit sau delete pentru un caz.
Pentru a elimina un caz, faceți clic pe butonul
aflat în colțul din dreapta sus al interfeței Case Management.
Pentru a modifica un caz selectat, faceți clic pe butonul
din aceeași zonă.
Folosiți butonul
pentru a exporta datele cazului.
Coloanele Response Remaining / Confirm Remaining oferă o vizibilitate critică asupra conformității cu acordul privind nivelul serviciilor (SLA), asigurând răspunsul și rezolvarea în timp util a incidentelor. Aceste valori ajută echipele de securitate să prioritizeze cazurile și să respecte cerințele de reglementare.
- Response Due Time: Indică termenul-limită pentru confirmarea inițială și atribuirea cazului. Acesta este momentul până la care echipa de securitate trebuie să confirme cazul și să înceapă investigația inițială.
- Confirmation Due Time: Reprezintă termenul-limită pentru confirmarea rezolvării cazului. Acesta este momentul până la care echipa de securitate trebuie să confirme că au fost luate toate măsurile de remediere necesare și că incidentul este complet rezolvat.
- Response Remaining: Afișează timpul rămas până la atingerea Response Due Time. Dacă acest moment a trecut, indică cât timp s-a scurs de la depășirea termenului-limită.
- Confirm Remaining: Afișează timpul rămas până la atingerea Confirmation Due Time. Dacă acest moment a trecut, indică cât timp s-a scurs de la depășirea termenului-limită.
Vizualizarea detaliată a cazului
Vizualizarea Case Details View prezintă informațiile esențiale și metadatele aferente unui caz specific. Acestea includ identificatori generali precum Case ID, nume, tip și descriere, împreună cu marcaje temporale care indică evenimente importante din ciclul de viață - cum ar fi momentul în care cazul a fost creat, modificat, închis sau redeschis.
De asemenea, oferă valori legate de SLA, precum Response Due Time, Confirmation Due Time și duratele lor respective rămase sau depășite. Proprietatea și accesul sunt indicate prin câmpuri precum Case Owner, utilizatorii atribuiți și Status-ul curent.
Perspective suplimentare includ urmărirea duplicării (de exemplu, hash-ul de duplicare și numărul de duplicate), clasificarea de utilizator și dacă cazul este marcat ca duplicat sau ca cel mai recent duplicat. Aceste detalii susțin gestionarea eficientă a cazurilor, auditarea și prioritizarea.

Faceți clic pe butonul
pentru a deschide o vizualizare rapidă a unui caz specific. Alternativ, faceți clic pe numele cazului pentru a accesa detaliile cazului:
Pagina cu detaliile cazului este organizată în mai multe vizualizări:
Overview
Fila Overview afișează informațiile principale despre cazul selectat, inclusiv case ID, nume, descriere, status, tip, utilizatori atribuiți, proprietar, data creării și data ultimei modificări. Include, de asemenea, informații despre SLA și duplicare, ajutând utilizatorii să înțeleagă rapid starea și contextul curent al cazului.

Timeline
Fila Timeline oferă un istoric cronologic al tuturor acțiunilor efectuate asupra cazului. Ajută utilizatorii să urmărească activitatea cazului, precum crearea, actualizările, modificările colaboratorilor și adăugările de dovezi.

Notes & Evidence
Fila Notes & Evidence afișează notele și elementele de dovezi asociate cazului.
Zona Notes afișează comentariile sau notele de investigație adăugate de utilizatori. Dacă nu sunt disponibile note, interfața afișează un mesaj de lipsă a notelor.
Zona Evidence listează elementele de dovezi încărcate sau atașate, precum jurnale, capturi de ecran, alerte exportate sau alte fișiere justificative. Intrările de dovezi includ utilizatorul care a adăugat elementul și marcajul temporal. Utilizatorul poate extinde intrarea de dovadă pentru a revizui informații suplimentare.

Incident Reports
Fila Incident Reports permite utilizatorilor să inițializeze și să gestioneze rapoarte de incident asociate cazului.
Din această vizualizare, utilizatorul poate selecta cadrul de raportare, precum DORA sau NIS2, poate alege categoria relevantă de raport de incident, poate selecta tipul de raport și poate inițializa raportul.
Această secțiune este utilizată pentru a susține fluxurile de raportare către autoritățile de reglementare, prin legarea documentației de incident direct de cazul de investigație. Dacă nu au fost create rapoarte, interfața afișează un mesaj de lipsă a rapoartelor de incident.

În partea de sus a paginii, acțiunile disponibile includ rularea unui playbook, adăugarea unei note, editarea cazului și schimbarea stării cazului.
Deduplicarea manuală a cazurilor
Deduplicarea manuală permite analiștilor să lege cazuri care sunt determinate a fi conexe sau identice pe baza investigației lor. Acest proces eficientizează gestionarea cazurilor, reduce redundanța și asigură că toate informațiile relevante sunt consolidate sub cel mai potrivit caz.
Pentru a începe deduplicarea manuală, faceți clic pe butonul
. Din meniul de acțiuni, selectați Add Deduplicate Item.
După ce cazul este adăugat ca element de deduplicare, deschideți din nou meniul de acțiuni și selectați Set Deduplicate Of. Această opțiune permite utilizatorului să aleagă cazul principal de care va fi legat cazul curent ca duplicat. 
În fereastra de selecție a deduplicării, revizuiți cazurile selectate și relația Duplicate Of. După confirmarea selecției, faceți clic pe butonul de confirmare pentru a aplica relația de deduplicare.

Opțiuni de deduplicare:
Add Deduplicate Item: Adaugă cazul curent într-o listă temporară de elemente considerate potențiale duplicate. Această listă este utilizată pentru a construi un set de cazuri conexe înainte de a atribui un caz principal.
Set Deduplicate Of: Atribuie cazul curent ca duplicat al altui caz selectat din lista construită anterior folosind Add Deduplicate Item. Această acțiune stabilește o relație clară între cazul duplicat și cazul principal, consolidând toate informațiile relevante sub cazul principal.
Odată aplicată deduplicarea, relația este afișată în secțiunea Duplication Info din vizualizarea detaliilor cazului.

Secțiunea Duplication Info afișează detalii despre relația de deduplicare, inclusiv cazul principal, marcajele temporale first seen și last seen, hash-ul de duplicare, numărul de duplicate și dacă cazul curent este marcat ca duplicat.
De exemplu, dacă Investigation - Repeated Authentication Failures se referă la aceeași activitate ca Investigation - Suspicious Failed Logons, analistul poate adăuga cazul de autentificări repetate ca element de deduplicare și apoi îl poate seta ca duplicat al cazului de autentificări eșuate suspecte.
Crearea unui caz nou
Modulul Case Management permite utilizatorilor să creeze înregistrări de investigație care grupează alerte, dovezi, note și activitatea utilizatorilor conexe într-un flux de lucru structurat. Fiecare caz acționează ca un spațiu de lucru central pentru urmărirea progresului investigației, atribuirea responsabilităților, documentarea constatărilor și menținerea unei piste de audit clare pe parcursul ciclului de viață al incidentului.
Pentru a crea un caz nou, faceți clic pe butonul
. Aceasta deschide fereastra de creare a cazului.

Pot fi configurate următoarele câmpuri:
Name: Introduceți un titlu de caz clar și descriptiv, care reflectă problema investigată. Utilizarea unei convenții de denumire consecvente ajută la îmbunătățirea trasabilității și face cazurile mai ușor de identificat ulterior.
Collaborators: Selectați utilizatorii care vor participa la investigație sau care necesită acces la caz. Colaboratorii pot revizui detaliile cazului, pot adăuga note, pot încărca dovezi și pot contribui la procesul de investigație.
Status: Selectați faza curentă a cazului din meniul derulant:
New- Cazul a fost creat și așteaptă revizuirea sau trierea inițială.Open- Cazul este investigat activ de către echipa de securitate.Solved- Problema a fost rezolvată, dar cazul poate necesita încă validare sau documentare finală.Closed- Cazul a fost finalizat și nu mai este necesară nicio acțiune suplimentară.Archived- Cazul a fost păstrat în scopuri istorice, de audit sau de conformitate.
Se recomandă ca fiecare organizație să definească o procedură internă privind momentul în care cazurile ar trebui să treacă între stări precum New, Open, Solved, Closed și Archived.
Case Types: Selectați categoria care descrie cel mai bine investigația. Tipurile de caz ajută la organizarea, filtrarea și analiza cazurilor pe baza naturii incidentului.
Description: Oferiți o scurtă explicație a contextului cazului, inclusiv motivul pentru care a fost creat cazul, ce activitate este investigată și ce ar trebui să acopere analiza preconizată.
Evidence: Încărcați fișiere justificative legate de caz, precum jurnale, capturi de ecran, alerte exportate, rapoarte sau alte materiale de investigație relevante.
Case Template: Selectați un șablon predefinit pentru a standardiza structura cazului. Șabloanele sunt gestionate în secțiunea Case Templates și ajută la reducerea efortului manual atunci când se creează cazuri de investigație recurente sau similare.
Faceți clic pe butonul “Save” pentru a aplica modificările și a crea cazul sau selectați “Cancel” pentru a renunța și a reveni la pagina principală.
Editarea cazului
Pentru a modifica un caz existent, faceți clic pe butonul
. Fereastra Edit Case permite actualizarea detaliilor cheie ale cazului, precum titlu, status, descriere, colaboratori, dovezi atașate și șablon de caz. După efectuarea modificărilor necesare, faceți clic pe “Save” pentru a confirma sau pe “Cancel” pentru a renunța și a reveni la pagina principală.
Generarea rapoartelor
Funcția Generate Reports permite utilizatorilor să exporte informații despre cazuri din modulul Case Management în scopuri de documentare, revizuire, audit sau conformitate. Rapoartele sunt generate în format HTML și pot include fie o prezentare generală a cazului, fie un raport mai detaliat pe baza tabelelor de date selectate ale cazului.
Pentru a genera un raport, faceți clic pe butonul
din bara de instrumente Case Management. Aceasta deschide fereastra de generare a raportului.
Sunt disponibile următoarele tipuri de rapoarte:
- Summary Report - Generează o prezentare generală a cazurilor disponibile în Case Management. Acest raport include statistici de nivel înalt, precum numărul total de cazuri, cazurile închise, valorile timpului de închidere, timpul total de investigație și detaliile generării.


Detailed Report - Permite utilizatorului să genereze un raport de caz personalizat prin selectarea unor tabele specifice din lista disponibilă. Această opțiune este utilă atunci când raportul trebuie să includă doar anumite categorii de informații despre caz.
Atunci când este selectat Detailed Report, câmpul Tables devine disponibil. Din această listă derulantă, utilizatorii pot alege informațiile care trebuie incluse în raportul exportat.
Tabelele disponibile pot include:
- CasesTypes - Afișează distribuția cazurilor pe tip de caz.
- UserCases - Afișează numărul de cazuri atribuite fiecărui utilizator.
- Status - Afișează numărul de cazuri grupat după status.
- EvidencesByCase - Afișează numărul de elemente de dovezi legate de fiecare caz.
- EvidencesCount - Afișează numărul de dovezi grupat după tipul de dovadă.
- EvidencesStatistics - Afișează statistici legate de dovezi, precum numărul total, mediu, minim și maxim de dovezi.
După selectarea tipului de raport și a tabelelor necesare, faceți clic pe Save pentru a genera raportul. Fișierul HTML exportat poate fi apoi utilizat pentru documentare internă, revizuirea investigației, raportare către management sau dovezi de audit.


Asocierea evenimentelor/alertelor cu un caz
Case Management este integrat strâns în modulele cheie de investigație ale CYBERQUEST, permițând o tranziție fluidă de la identificarea amenințării la investigație. Această integrare permite analiștilor de securitate să convertească eficient potențialele incidente de securitate identificate în alte module direct în cazuri gestionate. Oriunde meniul de acțiuni Case Management este disponibil - de regulă accesibil printr-o săgeată de acțiune - elementele pot fi utilizate ca dovezi prin crearea unui caz nou sau atașarea lor la unul existent.
Integrarea cu modulul Browser
Modulul Browser permite utilizatorilor să revizuiască, să filtreze și să analizeze în detaliu evenimentele de securitate. Atunci când un analist identifică un eveniment care necesită investigare suplimentară, evenimentul poate fi utilizat pentru a crea un caz de investigație nou sau poate fi adăugat ca dovadă la un caz existent.
Pentru a crea sau actualiza un caz de investigație din modulul Browser:
- Navigați la modulul Browser și localizați evenimentul care necesită investigare.
- Faceți clic pe pictograma
de lângă evenimentul selectat pentru a deschide meniul de acțiuni al evenimentului. - Din meniul de acțiuni, selectați una dintre următoarele opțiuni:
- Create Investigation Case - Deschide o nouă fereastră de creare a cazului și adaugă automat evenimentul selectat ca dovadă pentru cazul nou.
- Add to Existing Investigation - Permite utilizatorului să selecteze un caz existent și să atașeze evenimentul selectat ca dovadă la acea investigație.

Integrarea cu modulul Alerts
Modulul Alerts permite analiștilor să creeze sau să actualizeze cazuri de investigație direct din alertele detectate. Atunci când o alertă necesită analiză suplimentară, aceasta poate fi convertită într-un caz nou sau atașată ca dovadă la o investigație existentă.
Pentru a crea sau actualiza un caz dintr-o alertă:
Navigați la modulul Alerts și localizați alerta care necesită investigare.
Faceți clic pe butonul
pentru a extinde detaliile alertei.Din vizualizarea extinsă a alertei, folosiți una dintre acțiunile de investigație disponibile:
Create Investigation Case - Deschide o nouă fereastră de creare a cazului și adaugă automat alerta selectată ca dovadă pentru cazul nou.
Add to Existing Investigation - Adaugă alerta selectată ca dovadă la un caz deja existent. Această opțiune este disponibilă din meniul de acțiuni al alertei, făcând clic pe meniul cu trei puncte din partea dreaptă a barei de acțiuni a alertei.


Case Overview
Modulul Case Overview oferă un rezumat grafic al activității cazurilor din întreaga organizație. Acesta poate fi accesat oricând făcând clic pe butonul
din meniul de acces rapid din partea stângă a interfeței web.
Această vizualizare ajută utilizatorii să monitorizeze volumul cazurilor, progresul investigației, confirmările restante, răspunsurile restante, volumul de lucru al utilizatorilor și distribuția stărilor într-un interval de timp selectat.

Secțiunea de sus afișează principalii indicatori ai cazurilor:
Open Cases - Afișează numărul total de cazuri marcate în prezent cu statusul Open.
Response Overdue - Afișează numărul de cazuri în care timpul de răspuns configurat a fost depășit.
Confirmation Overdue - Afișează numărul de cazuri în care timpul de confirmare configurat a fost depășit.
Selectorul de interval de date permite utilizatorilor să filtreze informațiile afișate după intervale predefinite, precum Today, Yesterday, Last Week sau Last Month. Intervalul selectat controlează datele afișate în grafice și în panourile de rezumat.
Dashboard-ul include următoarele secțiuni:
Status Distribution - Afișează distribuția cazurilor pe status, precum New, Open, Solved, Closed și Archived.
Case Statuses - Arată cum au evoluat stările cazurilor pe parcursul intervalului de timp selectat.
Period Comparison - Compară valorile stărilor cazurilor între perioada curentă și cea anterioară selectată.
Latest Cases - Afișează cazurile cele mai recent modificate, inclusiv numele cazului, proprietarul, statusul și starea de confirmare/răspuns.
Overdue Confirmations - Listează cazurile în care timpul de confirmare a fost depășit.
Overdue Responses - Listează cazurile în care timpul de răspuns a fost depășit.
Top Users - Afișează utilizatorii asociați cu cel mai mare număr de cazuri, ajutând la identificarea distribuției volumului de lucru între analiști sau echipe.
Pentru a exporta datele din Case Overview în format CSV, faceți clic pe butonul
.
CYBERQUEST - modulul de asistență pentru reglementarea DORA
Modulul DORA Regulatory Assistance extinde fluxul de lucru CYBERQUEST Case Management cu suport dedicat pentru gestionarea incidentelor și raportarea către autoritățile de reglementare conform Digital Operational Resilience Act (DORA).
Modulul ajută echipele de securitate să documenteze, să clasifice și să raporteze incidentele legate de TIC într-un mod structurat și trasabil. Susține crearea de rapoarte de reglementare pe baza structurii de raportare definite de DORA și de regulamentul de punere în aplicare al UE aferent: EUR-lex

Modulul DORA îmbunătățește mediul Case Management cu funcții dedicate de asistență pentru reglementare:
DORA Journey - Oferă o interfață dedicată pentru urmărirea activităților de conformitate și pregătire legate de DORA. Ajută organizațiile să urmărească progresul, să identifice lacunele și să organizeze pașii necesari pentru a susține reziliența operațională și alinierea la reglementări.
Incident Reporting - Permite utilizatorilor să genereze rapoarte de incident structurate direct dintr-un caz. În funcție de etapa de raportare, utilizatorii pot inițializa tipuri de rapoarte precum Initial Report, Intermediate Report, Final Report sau Major Incident Reclassified as Non-Major.
Standardized Report Structure - Ajută la asigurarea faptului că rapoartele de incident respectă un format consecvent, aliniat cu așteptările de raportare DORA. Aceasta reduce efortul manual și susține o documentare mai fiabilă în timpul răspunsului la incidente.
Case-Based Evidence Collection - Leagă raportarea către autoritățile de reglementare de datele de investigație deja disponibile în caz, inclusiv alerte, dovezi, note, cronologii, schimbări de status și utilizatori atribuiți.
Incident Classification Support - Permite analiștilor să clasifice incidentele conform contextului de reglementare selectat, ajutând la determinarea faptului dacă un eveniment necesită raportare formală sau gestionare internă.
Prin integrarea raportării DORA în fluxul de investigație, CYBERQUEST ajută organizațiile să treacă de la detecție și gestionarea cazurilor la documentarea structurată de reglementare, reducând efortul de raportare și îmbunătățind pregătirea pentru audit.
CYBERQUEST - modulul de asistență pentru reglementarea NIS2
Modulul NIS2 Regulatory Assistance extinde fluxul de lucru CYBERQUEST Case Management cu suport dedicat pentru documentarea și raportarea incidentelor conform Directivei NIS2. NIS2 are ca scop stabilirea unui nivel comun ridicat de securitate cibernetică în întreaga Uniune Europeană și introduce cerințe de gestionare a riscurilor de securitate cibernetică și de raportare pentru entitățile esențiale și importante.
Modulul NIS2 ajută echipele de securitate să gestioneze incidentele semnificative într-un mod structurat și trasabil, direct dintr-un caz de investigație. Utilizatorii pot selecta opțiunea de raportare NIS2, pot alege categoria relevantă de incident și pot inițializa tipul de raport adecvat.

Tipurile de rapoarte NIS2 disponibile includ:
- Initial Report - Utilizat pentru a crea primul raport de incident atunci când un incident semnificativ este identificat și necesită documentare formală.
- Intermediate Report - Utilizat pentru a furniza informații actualizate pe măsură ce investigația progresează sau atunci când devin disponibile constatări suplimentare.
- Final Report - Utilizat pentru a documenta investigația finalizată, inclusiv impactul, cauza-rădăcină, acțiunile întreprinse și concluziile finale.
- Significant Incident Reclassified as Non-Significant - Utilizat atunci când un incident considerat inițial semnificativ este reevaluat ulterior și nu mai îndeplinește criteriile de raportare.
Modulul NIS2 îmbunătățește mediul Case Management cu funcții dedicate de asistență pentru reglementare:
- Incident Reporting - Permite utilizatorilor să genereze rapoarte structurate direct dintr-un caz, menținând contextul investigației legat de procesul de raportare.
- Case-Based Evidence Collection - Folosește informațiile despre caz, dovezile, notele, cronologiile și alertele conexe pentru a susține documentarea incidentelor.
- Standardized Report Structure - Ajută la asigurarea faptului că rapoartele de incident NIS2 respectă un format consecvent, reducând efortul manual și susținând pregătirea pentru audit.
- Incident Classification Support - Ajută analiștii să clasifice și să gestioneze incidentele conform contextului de raportare NIS2 selectat.
Prin integrarea raportării NIS2 în fluxul de lucru al cazului, CYBERQUEST ajută organizațiile să conecteze operațiunile de securitate cu documentarea de reglementare, făcând gestionarea incidentelor mai consecventă, mai trasabilă și mai ușor de revizuit.