Связь обнаружений с инцидентами
07 сентября 2023
ID 221566
Вы можете связать обнаружения с инцидентом, например, по следующим причинам:
- Несколько обнаружений могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае обнаружения в инциденте можно расследовать как единую проблему. К инциденту можно привязать до 200 обнаружений.
- Одиночное обнаружение можно связать с инцидентом, если оно является верным срабатыванием.
Обнаружение можно связать с инцидентом, если оно имеет любой статус, кроме статуса Закрыто. При связывании с инцидентом обнаружение меняет свой текущий статус на специальный статус – Связано с инцидентом. При привязке к выбранному инциденту обнаружений, связанных с другими инцидентами, происходит отмена связи обнаружений с этими инцидентами, поскольку обнаружение может быть связано только с одним инцидентом.
Обнаружения можно связать с инцидентом вручную или автоматически.
Связь обнаружений вручную
Чтобы связать обнаружения с существующим или новым инцидентом, выполните следующие действия:
- В главном меню выберите МОНИТОРИНГ И ОТЧЕТЫ → Обнаружения.
- Если в Kaspersky Security Center Cloud Console интегрированы как Kaspersky EDR Optimum, так и Kaspersky EDR Expert, раздел Обнаружения разделен на закладки. Перейдите на закладку Expert. В противном случае, пропустите этот шаг.
- Установите флажки рядом с обнаружениями, которые вы хотите связать с инцидентом.
- Чтобы связать обнаружения с существующим инцидентом:
- Нажмите на кнопку Связать с инцидентом.
- Выберите инцидент, с которым требуется связать обнаружения.
- Чтобы связать обнаружения с новым инцидентом:
- Нажмите на кнопку Создать инцидент.
- Укажите свойства нового инцидента: имя, ответственного и приоритет.
- Нажмите на кнопку Сохранить.
Выбранные обнаружения будут связаны с существующим или новым инцидентом.
Связь обнаружений автоматически
В Kaspersky EDR Expert есть встроенные правила для автоматической связи обнаружений с инцидентами. По умолчанию эти правила отключены. Вы можете включить их, чтобы обрабатывать недавно зарегистрированные обнаружения. Можно включать или отключать только все правила сразу.
Правила автоматического создания инцидентов:
- Правило 1. Связь нового обнаружения с существующим инцидентом
Kaspersky EDR Expert связывает новое обнаружение с существующим инцидентом, если хотя бы один из следующих параметров обнаружения совпадает с соответствующим параметром инцидента:
- Любое из наблюдаемых значений (хеш MD5, веб-адрес, IP-адрес, доменное имя).
Параметр хеш MD5 приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации обнаружения прошло менее 30 дней. Для остальных параметров (веб-адрес, IP-адрес, доменное имя) этот промежуток времени не должен превышать двух дней.
- Идентификатор устройства из списка затронутых активов.
Этот параметр приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации обнаружения прошло менее одного часа.
- Сработавшее правило IOC.
Этот параметр приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации обнаружения прошло менее одного часа.
Другие условия, которые должны выполняться для срабатывания правила:
- Инцидент должен содержать не более 200 обнаружений.
- Статус инцидента отличен от Закрыт.
- Любое из наблюдаемых значений (хеш MD5, веб-адрес, IP-адрес, доменное имя).
- Правило 2. Создание нового инцидента из обнаружений на том же устройстве
При регистрации нового обнаружения Kaspersky EDR Expert проверяет одновременное выполнение следующих условий:
- Новое зарегистрированное обнаружение и обнаружения в таблице обнаружений имеют одинаковый идентификатор устройства.
- Найденные обнаружения с совпадающим идентификатором устройства имеют статус Новое.
- Найденные обнаружения с совпадающим идентификатором устройства были зарегистрированы в течение 30 минут до нового зарегистрированного обнаружения.
Если выполнены эти условия, Kaspersky EDR Expert создает новый инцидент и связывает новые и найденные обнаружения с новым инцидентом.
- Правило 3. Создание нового инцидента из отдельного обнаружения
Kaspersky EDR Expert создает новый инцидент и связывает с ним новое зарегистрированное обнаружение, если выполняются следующие условия:
- Обнаружение было зарегистрировано в результате срабатывания правила IOC.
- Не сработало ни Правило 1, ни Правило 2 для автоматического создания инцидентов.
Чтобы включить правила автоматического создания инцидентов, выполните следующие действия:
- Перейдите в раздел Параметры консоли → Интеграция.
Откроется окно Параметры консоли.
- На закладке Интеграция выберите раздел Kaspersky EDR Expert.
- Нажмите на ссылку Параметры рядом с параметром Создание инцидента.
Откроется окно Создание инцидента.
- Выберите параметр Включить правила автоматического создания инцидентов.
- Нажмите на кнопку OK.
Правила автоматического создания инцидентов будут включены.