Шаг 9. Поиск связанных активов
Вы можете просмотреть алерты, которые происходили на связанных с инцидентом активах.
Пример Аналитик проверяет другие алерты, которые происходили на связанных с инцидентом активах (Инциденты → необходимый инцидент → Связанные алерты → необходимый алерт → Связанные активы → необходимый актив → Связанные алерты). В окне с алертами можно настроить фильтрацию по времени или статусу, чтобы исключить устаревшие или уже обработанные алерты. По времени, в которое были записаны алерты актива, аналитик определяет, что эти алерты связаны между собой, поэтому их можно привязать к инциденту (отметить флажками необходимые алерты → Привязать → необходимый инцидент → Привязать). Также аналитик находит связанные алерты для учетной записи и привязывает их к инциденту. Все связанные активы, которые были в новых алертах, также проверяются. |
