Об инцидентах
07 сентября 2023
ID 221314
Инцидент – это контейнер обнаружений, который обычно указывает на реально существующую проблему в ИТ-инфраструктуре организации. Инцидент может содержать одно или несколько обнаружений. Инциденты позволяют аналитикам исследовать несколько обнаружений в виде единой проблемы.
Инциденты можно создавать вручную или включить правила автоматического создания инцидентов. После создания инцидента с ним можно связать обнаружения. К инциденту можно привязать не более 200 обнаружений.
После создания Kaspersky EDR Expert добавляет инциденты в таблицу инцидентов как рабочие элементы, которые должны обрабатываться аналитиками.
Инциденты могут быть назначены только аналитикам, имеющим право на чтение и изменение обнаружений и инцидентов.
Вы можете управлять инцидентами как рабочими элементами, используя следующие их свойства:
Несколько инцидентов могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае можно объединить инциденты и расследовать их как единую проблему.
Для каждого инцидента есть раздел информации об инциденте, содержащий все сведения, относящиеся к инциденту. Вы можете использовать эту информацию для расследования инцидента и для объединения инцидентов.