Просмотр групп инцидентов

При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу (с помощью службы Similar Anomaly). Это позволяет анализировать инциденты с учетом предыстории, а также использовать экспертные заключения, сделанные для аналогичных инцидентов. В таблице инцидентов в разделе Инциденты группа, к которой отнесен инцидент, отображается в столбце Группа. Если в этом столбце для инцидента ничего не указано, то Kaspersky MLAD к настоящему моменту не обнаружил для этого инцидента похожие. Инциденты могут быть перегруппированы, и при этом экспертные заключения, добавленные к этим инцидентам, мигрируют в новую группу. Имя группы присваивается автоматически – Group #N (N – порядковый номер группы). При необходимости вы можете изменить имя группы.

Чтобы просмотреть группы инцидентов,

в основном меню выберите раздел Инциденты и нажмите на Группы.

В таблице, расположенной в центральной части страницы, будут показаны все группы инцидентов для вашего объекта мониторинга.

Для каждой группы инцидентов в таблице, отображается следующая информация:

• ID – идентификатор группы инцидентов.
• Имя группы – название группы инцидентов.
• Экспертное заключение – заключение по анализу группы зарегистрированных инцидентов, добавленное экспертом (технологом или специалистом АСУ ТП).
• Количество инцидентов – количество зарегистрированных инцидентов, которые входят в группу.

  Вы можете перейти к просмотру инцидентов группы, нажав на Количество инцидентов.

• Дата и время – дата и время создания группы инцидентов.
• Статус – статус зарегистрированных инцидентов в группе, указанный экспертом (технологом или специалистом АСУ ТП) по результатам анализа инцидентов.

  Вы можете установить статус группы инцидентов по результатам их анализа, выбрав нужное значение в раскрывающемся списке. По умолчанию при установке Kaspersky MLAD доступны следующие статусы инцидентов и групп инцидентов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать и Ложное срабатывание. Если требуется, системный администратор может создать, изменить или удалить статусы инцидентов.

Чтобы просмотреть подробную информацию о группе инцидентов:

1. Нажмите на значок стрелки вправо () около группы инцидентов.

   Отобразится список инцидентов, входящих в эту группу. Для каждого инцидента группы отображаются следующие технические характеристики:

   • Дата инцидента – дата и время регистрации инцидента.

     Вы можете перейти в раздел История, нажав на значение даты регистрации инцидента.

   • Имя топ-тега – название параметра технологического процесса, который оказал наибольшее влияние при возникновении инцидента.
   • Значение топ-тега – зарегистрированное значение тега, оказавшего наибольшее влияние при возникновении инцидента.
   • Релевантные теги – таблица, которая содержит идентификаторы тегов, оказавших влияние на определение похожих инцидентов и объединение таких инцидентов в группу.
2. Если требуется просмотреть степень влияния тега на формирование похожих инцидентов, нажмите на ячейку таблицы Релевантные теги, в которой содержится идентификатор нужного тега.

   Все ячейки таблицы, содержащие выбранный идентификатор тега, будут выделены зеленым цветом. Чем ближе к первому столбцу таблицы находятся выделенные зеленым цветом ячейки, содержащие идентификатор выбранного тега, тем большее влияние этот тег оказал на определение похожих инцидентов и объединение их в группу.

Также вы можете добавить статус и экспертное заключение для группы инцидентов.