Об инцидентах

Развернуть все | Свернуть все

Инцидент – это контейнер обнаружений, который обычно указывает на реально существующую проблему в ИТ-инфраструктуре организации. Инцидент может содержать одно или несколько обнаружений. Инциденты позволяют аналитикам исследовать несколько обнаружений в виде единой проблемы.

Инциденты можно создавать вручную или включить правила автоматического создания инцидентов. После создания инцидента с ним можно связать обнаружения. К инциденту можно привязать не более 200 обнаружений.

После создания Kaspersky EDR Expert добавляет инциденты в таблицу инцидентов как рабочие элементы, которые должны обрабатываться аналитиками.

Инциденты могут быть назначены только аналитикам, имеющим право на чтение и изменение обнаружений и инцидентов.

Вы можете управлять инцидентами как рабочими элементами, используя следующие их свойства:

• Статус инцидента

  Возможные значения: Новый, В работе, Удерживается, Закрыт.

  Статус инцидента показывает текущее состояние инцидента в его жизненном цикле. Вы можете изменить статус по своему усмотрению, однако имеются следующие исключения:

  • Статус Новый нельзя изменить на Удерживается.
  • Статус Закрыт можно изменить только на Новый.
• Уровень важности инцидента

  Возможные значения: Низкий, Средний, Высокий.

  Уровень важности инцидента показывает, какое влияние этот инцидент может оказать на безопасность компьютеров и корпоративной локальной сети на основе опыта "Лаборатории Касперского". Уровень важности инцидента соответствует наивысшему уровню важности связанных обнаружений и не может быть изменен вручную.

• Приоритет инцидента

  Возможные значения: Низкий, Средний, Высокий, Критический.

  Приоритет инцидентов определяет порядок расследования инцидентов аналитиками. Инциденты с приоритетом Критический – самые срочные, их необходимо расследовать в первую очередь. Приоритет инцидента можно изменить вручную.

• Ответственный за инцидент

  Аналитик, которому назначен инцидент и который отвечает за его расследование и обработку. Вы можете сменить ответственного за инцидент в любое время.

Несколько инцидентов могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае можно объединить инциденты и расследовать их как единую проблему.

Для каждого инцидента есть раздел информации об инциденте, содержащий все сведения, относящиеся к инциденту. Вы можете использовать эту информацию для расследования инцидента и для объединения инцидентов.