Изменение статуса обнаружения

Развернуть все | Свернуть все

Как рабочий элемент, обнаружение имеет статус, показывающий текущее состояние обнаружения в его жизненном цикле.

Вы можете изменить статусы собственных обнаружений и обнаружений других аналитиков, только если у вас есть права на чтение и изменение обнаружений и инцидентов.

Обнаружение может иметь один из следующих статусов:

• Новый

  Когда Kaspersky EDR Expert регистрирует новое обнаружение, ему присваивается статус Новое. Вы можете изменить статус на Идет процесс или Закрыто. При изменении статуса со значения Новое на Идет процесс обнаружение автоматически назначается вам. При изменении статуса со значения Новое на Закрыто обнаружение автоматически назначается вам, если ему не был назначен ответственный.

• Идет процесс

  Этот статус означает, что аналитик начал работу над обнаружением. При переводе обнаружения в статус Идет процесс оно назначается вам автоматически. Вы можете изменить статус Идет процесс на Новое или Закрыто.

• Закрыт

  Реальные обнаружения должны быть связаны с инцидентами и расследоваться в рамках инцидентов. При закрытии инцидента связанным обнаружениям также присваивается статус Закрыто. Обнаружения, не связанные с инцидентами, можно закрыть, только если они являются ложными срабатываниями или имеют низкий приоритет. При закрытии обнаружения необходимо выбрать решение и указать краткий комментарий.

  Статус Закрыто можно изменить только на статус Новое. Чтобы вернуть закрытое обнаружение в работу, измените его статус следующим образом: Закрыто → Новое → Идет процесс.

  При закрытии обнаружения, связанного с инцидентом, происходит автоматическая отмена связи с инцидентом. Если для обнаружения, которое вы собираетесь закрыть, не назначен ответственный, оно автоматически назначается аналитику, который его закрывает.

• В инциденте

  Обнаружения получают этот статус, если они связаны с инцидентом. Этот статус нельзя задать вручную. Связанным обнаружениям можно установить только статус Закрыто. Чтобы установить статус Новое или Идет процесс, сначала необходимо отменить связь обнаружения с инцидентом.

Чтобы изменить статус обнаружений, выполните следующие действия:

1. В главном меню выберите МОНИТОРИНГ И ОТЧЕТЫ → Обнаружения.
2. Если в Kaspersky Security Center Cloud Console интегрированы как Kaspersky EDR Optimum, так и Kaspersky EDR Expert, раздел Обнаружения имеет две закладки. Перейдите на закладку Expert. В противном случае, пропустите этот шаг.
3. Установите флажки напротив обнаружений, статус которых вы хотите изменить.
4. Нажмите на кнопку Изменить статус.
5. В окне Изменить статус выберите требуемый статус.

   При присвоении статуса Закрыто необходимо выбрать решение и указать краткий комментарий.

6. Укажите комментарий (необязательно).
7. Нажмите на кнопку Сохранить.

Статус выбранных обнаружений будет изменен.