Поддержка

Поддержка приложений для бизнеса

Kaspersky Endpoint Detection and Response Expert

Обнаружения

Связь обнаружений с инцидентами

Kaspersky Endpoint Detection and Response Expert
Онлайн-справка
Советы и решения FAQ Скачать Форум Запрос в поддержку Утилиты для лечения Видео о продуктах

Связь обнаружений с инцидентами

07 сентября 2023

ID 221566

Вы можете связать обнаружения с инцидентом, например, по следующим причинам:

  • Несколько обнаружений могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае обнаружения в инциденте можно расследовать как единую проблему. К инциденту можно привязать до 200 обнаружений.
  • Одиночное обнаружение можно связать с инцидентом, если оно является верным срабатыванием.

Обнаружение можно связать с инцидентом, если оно имеет любой статус, кроме статуса Закрыто. При связывании с инцидентом обнаружение меняет свой текущий статус на специальный статус – Связано с инцидентом. При привязке к выбранному инциденту обнаружений, связанных с другими инцидентами, происходит отмена связи обнаружений с этими инцидентами, поскольку обнаружение может быть связано только с одним инцидентом.

Обнаружения можно связать с инцидентом вручную или автоматически.

Связь обнаружений вручную

Чтобы связать обнаружения с существующим или новым инцидентом, выполните следующие действия:

  1. В главном меню выберите МОНИТОРИНГ И ОТЧЕТЫ Обнаружения.
  2. Если в Kaspersky Security Center Cloud Console интегрированы как Kaspersky EDR Optimum, так и Kaspersky EDR Expert, раздел Обнаружения разделен на закладки. Перейдите на закладку Expert. В противном случае, пропустите этот шаг.
  3. Установите флажки рядом с обнаружениями, которые вы хотите связать с инцидентом.
  4. Чтобы связать обнаружения с существующим инцидентом:
    1. Нажмите на кнопку Связать с инцидентом.
    2. Выберите инцидент, с которым требуется связать обнаружения.
  5. Чтобы связать обнаружения с новым инцидентом:
    1. Нажмите на кнопку Создать инцидент.
    2. Укажите свойства нового инцидента: имя, ответственного и приоритет.
  6. Нажмите на кнопку Сохранить.

Выбранные обнаружения будут связаны с существующим или новым инцидентом.

Связь обнаружений автоматически

В Kaspersky EDR Expert есть встроенные правила для автоматической связи обнаружений с инцидентами. По умолчанию эти правила отключены. Вы можете включить их, чтобы обрабатывать недавно зарегистрированные обнаружения. Можно включать или отключать только все правила сразу.

Правила автоматического создания инцидентов:

  • Правило 1. Связь нового обнаружения с существующим инцидентом

    Kaspersky EDR Expert связывает новое обнаружение с существующим инцидентом, если хотя бы один из следующих параметров обнаружения совпадает с соответствующим параметром инцидента:

    • Любое из наблюдаемых значений (хеш MD5, веб-адрес, IP-адрес, доменное имя).

      Параметр хеш MD5 приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации обнаружения прошло менее 30 дней. Для остальных параметров (веб-адрес, IP-адрес, доменное имя) этот промежуток времени не должен превышать двух дней.

    • Идентификатор устройства из списка затронутых активов.

      Этот параметр приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации обнаружения прошло менее одного часа.

    • Сработавшее правило IOC.

      Этот параметр приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации обнаружения прошло менее одного часа.

    Другие условия, которые должны выполняться для срабатывания правила:

    • Инцидент должен содержать не более 200 обнаружений.
    • Статус инцидента отличен от Закрыт.
  • Правило 2. Создание нового инцидента из обнаружений на том же устройстве

    При регистрации нового обнаружения Kaspersky EDR Expert проверяет одновременное выполнение следующих условий:

    • Новое зарегистрированное обнаружение и обнаружения в таблице обнаружений имеют одинаковый идентификатор устройства.
    • Найденные обнаружения с совпадающим идентификатором устройства имеют статус Новое.
    • Найденные обнаружения с совпадающим идентификатором устройства были зарегистрированы в течение 30 минут до нового зарегистрированного обнаружения.

    Если выполнены эти условия, Kaspersky EDR Expert создает новый инцидент и связывает новые и найденные обнаружения с новым инцидентом.

  • Правило 3. Создание нового инцидента из отдельного обнаружения

    Kaspersky EDR Expert создает новый инцидент и связывает с ним новое зарегистрированное обнаружение, если выполняются следующие условия:

    • Обнаружение было зарегистрировано в результате срабатывания правила IOC.
    • Не сработало ни Правило 1, ни Правило 2 для автоматического создания инцидентов.

Чтобы включить правила автоматического создания инцидентов, выполните следующие действия:

  1. Перейдите в раздел Параметры консоли Интеграция.

    Откроется окно Параметры консоли.

  2. На закладке Интеграция выберите раздел Kaspersky EDR Expert.
  3. Нажмите на ссылку Параметры рядом с параметром Создание инцидента.

    Откроется окно Создание инцидента.

  4. Выберите параметр Включить правила автоматического создания инцидентов.
  5. Нажмите на кнопку OK.

Правила автоматического создания инцидентов будут включены.

См. также:

Об обнаружениях

Просмотр таблицы обнаружений

Отмена связи обнаружений с инцидентами

Об инцидентах

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!