Связь обнаружений с инцидентами

Вы можете связать обнаружения с инцидентом, например, по следующим причинам:

• Несколько обнаружений могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае обнаружения в инциденте можно расследовать как единую проблему. К инциденту можно привязать до 200 обнаружений.
• Одиночное обнаружение можно связать с инцидентом, если оно является верным срабатыванием.

Обнаружение можно связать с инцидентом, если оно имеет любой статус, кроме статуса Закрыто. При связывании с инцидентом обнаружение меняет свой текущий статус на специальный статус – Связано с инцидентом. При привязке к выбранному инциденту обнаружений, связанных с другими инцидентами, происходит отмена связи обнаружений с этими инцидентами, поскольку обнаружение может быть связано только с одним инцидентом.

Обнаружения можно связать с инцидентом вручную или автоматически.

Связь обнаружений вручную

Чтобы связать обнаружения с существующим или новым инцидентом, выполните следующие действия:

1. В главном меню выберите МОНИТОРИНГ И ОТЧЕТЫ → Обнаружения.
2. Если в Kaspersky Security Center Cloud Console интегрированы как Kaspersky EDR Optimum, так и Kaspersky EDR Expert, раздел Обнаружения разделен на закладки. Перейдите на закладку Expert. В противном случае, пропустите этот шаг.
3. Установите флажки рядом с обнаружениями, которые вы хотите связать с инцидентом.
4. Чтобы связать обнаружения с существующим инцидентом:
   1. Нажмите на кнопку Связать с инцидентом.
   2. Выберите инцидент, с которым требуется связать обнаружения.
5. Чтобы связать обнаружения с новым инцидентом:
   1. Нажмите на кнопку Создать инцидент.
   2. Укажите свойства нового инцидента: имя, ответственного и приоритет.
6. Нажмите на кнопку Сохранить.

Выбранные обнаружения будут связаны с существующим или новым инцидентом.

Связь обнаружений автоматически

В Kaspersky EDR Expert есть встроенные правила для автоматической связи обнаружений с инцидентами. По умолчанию эти правила отключены. Вы можете включить их, чтобы обрабатывать недавно зарегистрированные обнаружения. Можно включать или отключать только все правила сразу.

Правила автоматического создания инцидентов:

• Правило 1. Связь нового обнаружения с существующим инцидентом

  Kaspersky EDR Expert связывает новое обнаружение с существующим инцидентом, если хотя бы один из следующих параметров обнаружения совпадает с соответствующим параметром инцидента:

  • Любое из наблюдаемых значений (хеш MD5, веб-адрес, IP-адрес, доменное имя).

    Параметр хеш MD5 приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации обнаружения прошло менее 30 дней. Для остальных параметров (веб-адрес, IP-адрес, доменное имя) этот промежуток времени не должен превышать двух дней.

  • Идентификатор устройства из списка затронутых активов.

    Этот параметр приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации обнаружения прошло менее одного часа.

  • Сработавшее правило IOC.

    Этот параметр приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации обнаружения прошло менее одного часа.

  Другие условия, которые должны выполняться для срабатывания правила:

  • Инцидент должен содержать не более 200 обнаружений.
  • Статус инцидента отличен от Закрыт.
• Правило 2. Создание нового инцидента из обнаружений на том же устройстве

  При регистрации нового обнаружения Kaspersky EDR Expert проверяет одновременное выполнение следующих условий:

  • Новое зарегистрированное обнаружение и обнаружения в таблице обнаружений имеют одинаковый идентификатор устройства.
  • Найденные обнаружения с совпадающим идентификатором устройства имеют статус Новое.
  • Найденные обнаружения с совпадающим идентификатором устройства были зарегистрированы в течение 30 минут до нового зарегистрированного обнаружения.

  Если выполнены эти условия, Kaspersky EDR Expert создает новый инцидент и связывает новые и найденные обнаружения с новым инцидентом.

• Правило 3. Создание нового инцидента из отдельного обнаружения

  Kaspersky EDR Expert создает новый инцидент и связывает с ним новое зарегистрированное обнаружение, если выполняются следующие условия:

  • Обнаружение было зарегистрировано в результате срабатывания правила IOC.
  • Не сработало ни Правило 1, ни Правило 2 для автоматического создания инцидентов.

Чтобы включить правила автоматического создания инцидентов, выполните следующие действия:

1. Перейдите в раздел Параметры консоли → Интеграция.

   Откроется окно Параметры консоли.

2. На закладке Интеграция выберите раздел Kaspersky EDR Expert.
3. Нажмите на ссылку Параметры рядом с параметром Создание инцидента.

   Откроется окно Создание инцидента.

4. Выберите параметр Включить правила автоматического создания инцидентов.
5. Нажмите на кнопку OK.

Правила автоматического создания инцидентов будут включены.

См. также: Об обнаружениях Просмотр таблицы обнаружений Отмена связи обнаружений с инцидентами Об инцидентах

В начало