Поддержка

Поддержка приложений для бизнеса

Kaspersky Unified Monitoring and Analysis Platform

Руководство пользователя

Аналитика

Работа с инцидентами

Просмотр информации об инциденте

Kaspersky Unified Monitoring and Analysis Platform
Нет результатов
База знаний Онлайн-справка
FAQ Обзор решения Форум Запрос в поддержку Видео

Просмотр информации об инциденте

05 апреля 2024

ID 220362

Скачать PDF

Чтобы просмотреть информацию об инциденте:

  1. В окне веб-интерфейса программы выберите раздел Инциденты.
  2. Выберите инцидент, информацию о котором вы хотите просмотреть.

Откроется окно с информацией об инциденте.

Некоторые параметры инцидентов доступны для редактирования.

В верхней части окна информации об инциденте расположена панель инструментов и указано имя пользователя, которому назначен инцидент, а также указаны разделы окна в виде закладок, при нажатии на которые можно перемещаться к нужному разделу. В этом окне вы можете обработать инцидент: назначить его пользователю, объединить его с другим инцидентом или закрыть.

Раздел Описание содержит следующие данные:

  • Создан – дата и время создания инцидента.
  • Название – название инцидента.

    Название инцидента можно изменить, введя в поле новое название и нажав Сохранить. Название должно содержать от 1 до 128 символов в кодировке Unicode.

  • Тенант – название тенанта, которому принадлежит инцидент.

    Тенанта можно изменить, выбрав необходимый тенант в раскрывающемся списке и нажав Сохранить.

  • Статус – текущее состояние инцидента:
    • Открыт – новый, еще не обработанный инцидент.
    • Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
    • Закрыт – инцидент закрыт, угроза безопасности устранена.
  • Уровень важности – значимость угрозы, которую представляет инцидент. Возможные значения:
    • Критический.
    • Высокий.
    • Средний.
    • Низкий.

    Уровень важности можно изменить, выбрав нужное значение в раскрывающемся списке и нажав Сохранить.

  • Категории затронутых активов – категории, к которым принадлежат связанные с инцидентом активы.
  • Появление первого события и Появление последнего события – дата и время первого и последнего события в инциденте.
  • Тип инцидента и Категория инцидента – тип и категория угрозы, присвоенная инциденту. Значения можно изменить, выбрав в раскрывающемся списке нужное и нажав Сохранить.
  • Экспорт в НКЦКИ – сведения о том, экспортировался ли этот инцидент в НКЦКИ.
  • Описание – описание инцидента.

    Описание можно изменить, введя в поле новый текст и нажав Сохранить. Описание должно содержать не более 256 символов в кодировке Unicode.

  • Связанные тенанты – тенанты, относящиеся к связанным с инцидентом алертам, активам и пользователям.
  • Доступные тенанты – тенанты, алерты которых можно привязывать к инциденту автоматически.

    Список доступных тенантов можно изменить, установив в раскрывающемся списке флажки напротив нужных тенантов и нажав Сохранить.

Раздел Связанные алерты содержит таблицу алертов, относящихся к инциденту. При нажатии на название алерта открывается окно с подробными данными об этом алерте.

Разделы Связанные активы и Связанные пользователи содержат таблицы с данными об активах и пользователях, относящихся к инциденту. Эта информация поступает из алертов, связанных с инцидентом.

Таблицы в разделах Связанные алерты, Связанные активы и Связанные пользователи можно дополнить данными, нажав в нужном разделе на кнопку Привязать и выбрав в открывшемся окне объект, который следует привязать к инциденту. При необходимости вы можете отвязать объекты от инцидента. Для этого вам требуется выбрать необходимые объекты, нажать Отвязать в разделе, к которому они относятся, и сохранить изменения. Если объекты добавлены в инцидент автоматически, их нельзя отвязать, пока не отвязан алерт, в котором они упоминаются. Состав полей в таблицах этих разделов можно изменить, нажав в нужном разделе на кнопку gear. По данным в таблицах этих разделов можно вести поиск с помощью полей Поиск.

Раздел Журнал изменений содержит записи об изменениях, которые вы и пользователи вносили в инцидент. Изменения регистрируются автоматически, при этом есть возможность вручную добавлять комментарии.

В разделе Интеграция с НКЦКИ можно отслеживать статус инцидента в НКЦКИ. Кроме того, в этом разделе можно экспортировать данные об инциденте в НКЦКИ, пересылать в НКЦКИ файлы, а также обмениваться со специалистами НКЦКИ сообщениями.

Если в параметры инцидента на стороне НКЦКИ были внесены изменения, в окне инцидента в KUMA будет отображаться соответствующее уведомление. При этом для параметров, по которым есть расхождения, в окне будут отображаться варианты значений и из KUMA, и из НКЦКИ.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!