Поддержка

Поддержка приложений для бизнеса

Kaspersky Unified Monitoring and Analysis Platform

Руководство пользователя

Аналитика

Работа с инцидентами

О таблице инцидентов

Kaspersky Unified Monitoring and Analysis Platform
Нет результатов
База знаний Онлайн-справка
FAQ Обзор решения Форум Запрос в поддержку Видео

О таблице инцидентов

05 апреля 2024

ID 220214

Скачать PDF

В основной части раздела Инциденты отображается таблица с информацией о зарегистрированных инцидентах. При необходимости вы можете изменить набор столбцов и порядок их отображения в таблице.

Как настроить таблицу инцидентов

Доступные столбцы таблицы инцидентов:

  • Название – название инцидента.
  • Длительность инцидента – время, на протяжении которого происходил инцидент (время между первым и последним событием, относящимся к инциденту).
  • Назначен – имя сотрудника службы безопасности, которому инцидент передан для расследования или реагирования.
  • Создан – дата и время создания инцидента. С помощью этого столбца инциденты можно фильтровать по времени их создания.
    • Доступны преднастроенные периоды: Сегодня, Вчера, На этой неделе, На прошлой неделе.
    • При необходимости можно задать произвольный период с помощью календаря, который открывается при выборе пунктов До даты, После даты, В течение периода.
  • Тенант – название тенанта, которому принадлежит инцидент.
  • Статус – текущее состояние инцидента:
    • Открыт – новый, еще не обработанный инцидент.
    • Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
    • Закрыт – инцидент закрыт, угроза безопасности устранена.
  • Количество алертов – количество алертов, входящих в инцидент. Учитываются только алерты тех тенантов, к которым у вас есть доступ.
  • Уровень важности степень значимости потенциальной угрозы безопасности: Критический priority-critical, Высокий priority-high, Средний priority-medium, Низкий priority-low.
  • Категории затронутых активов – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
  • Последнее обновление – дата и время последнего изменения, сделанного в инциденте.
  • Первое событие и Последнее событие – дата и время первого и последнего события в инциденте.
  • Категория инцидента и Тип инцидентакатегория и тип угрозы, присвоенные инциденту.
  • Экспорт в НКЦКИ – статус экспорта данных об инциденте в НКЦКИ:
    • Не экспортировался – данные не передавались в НКЦКИ.
    • Ошибка экспорта – попытка передать данные в НКЦКИ завершилась ошибкой, данные не переданы.
    • Экспортирован – данные об инциденте успешно переданы в НКЦКИ.
  • Ветвь – данные о том, в каком узле был создан инцидент. По умолчанию отображаются инциденты вашего узла. Этот столбец отображается только при включенном режиме иерархии.
  • КИИ – указание на то, относятся ли к инциденту активы, являющиеся объектами КИИ. Столбец скрыт от пользователей, не имеющих прав доступа к объектам КИИ.

В поле Поиск можно ввести регулярное выражение для поиска инцидентов по связанным с ними активами, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:

  • Активы: название, FQDN, IP-адрес.
  • Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
  • Корреляционные правила: название.
  • Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
  • Тенанты: название.

При фильтрации инцидентов по какому-либо параметру соответствующий столбец в таблице инцидентов подсвечивается желтым цветом.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!