Обработка алертов

Вы можете изменить уровень важности алерта, назначить алерт пользователю, закрыть алерт или создать на основе алерта инцидент.

Чтобы обработать алерт:

1. Выберите необходимые алерты одним из следующих способов:
   • В разделе Алерты веб-интерфейса KUMA нажмите на алерт, сведения о котором вы хотите просмотреть.

     Откроется окно алерта, в верхней его части расположена панель инструментов.

   • В разделе Алерты веб-интерфейса KUMA установите флажок рядом с требуемым алертом. Можно выбрать более одного алерта.

     Алерты со статусом Закрыт не могут быть выбраны для обработки.

     В нижней части окна отобразится панель инструментов.

2. Измените уровень важности алерта с помощью раскрывающегося списка Уровень важности:
   • Низкий.
   • Средний.
   • Высокий.
   • Критический.

   Уровень важности алерта принимает выбранное значение.

3. Назначьте алерт пользователю с помощью раскрывающегося списка Назначить.

   Вы можете назначить алерт себе, выбрав Мне.

   Статус алерта изменится на Назначен, а в раскрывающемся списке Назначить отобразится имя выбранного пользователя.

4. В разделе Связанные пользователи выберите пользователя и настройте параметры реагирования через Active Directory.
   1. После выбора связанного пользователя в открывшемся окне Информация об учетной записи нажмите Реагирование через Active Directory.
   2. В раскрывающемся списке Команда Active Directory выберите одно из следующих значений:
      • Добавить учетную запись в группу

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Удалить учетную запись из группы

        Группа Active Directory, из которой или в которую необходимо переместить учетную запись.
        В обязательном для заполнения поле Distinguished name необходимо указать полный путь к группе.
        Например, CN=HQ Team,OU=Groups,OU=ExchangeObjects,DC=avp,DC=ru.
        В рамках одной операции можно указать только одну группу.

      • Сбросить пароль учетной записи
      • Блокировать учетную запись
   3. Нажмите Применить.
5. При необходимости создайте на основе алерта инцидент:
   1. Нажмите Создать инцидент.

      Откроется окно создания инцидента. В качестве названия инцидента используется название алерта.

   2. Измените нужны параметры инцидента и нажмите Сохранить.

   Инцидент создан, статус алерта изменен на Эскалирован. Алерт можно отвязать от инцидента, выбрав его и нажав Отвязать.

6. Закройте алерт:
   1. Нажмите Закрыть алерт.

      Откроется окно подтверждения.

   2. Укажите причину закрытия алерта:
      • Отработан. Это означает, что были приняты необходимые меры по устранению угрозы безопасности.
      • Неверные данные. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности.
      • Неверное правило корреляции. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности. Возможно, требуется коррекция правила корреляции.
   3. Нажмите ОК.

   Статус алерта изменен на Закрыт. Алерты с таким статусом не обновляются новыми корреляционными событиями и отображаются в таблице алертов, только если в раскрывающемся списке Статус установлен флажок Закрыт. Изменить статус закрытого алерта или назначить его другому пользователю невозможно.