Kaspersky Endpoint Detection and Response Expert
Русский
Алерты  >  Связь алертов с инцидентами

Связь алертов с инцидентами

Вы можете связать алерты с инцидентом, например, по следующим причинам:

  • Несколько алертов могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае алерты в инциденте можно расследовать как единую проблему. К инциденту можно привязать до 200 алертов.
  • Одиночный алерт можно связать с инцидентом, если он является верным срабатыванием.

алерт можно связать с инцидентом, если он имеет любой статус, кроме статуса Закрыт. При связывании с инцидентом алерт меняет свой текущий статус на специальный статус – Связан с инцидентом. При привязке к выбранному инциденту алертов, связанных с другими инцидентами, происходит отмена связи алертов с этими инцидентами, поскольку алерт может быть связан только с одним инцидентом.

Алерты можно связать с инцидентом вручную или автоматически.

Связь алертов вручную

Чтобы связать алерты с существующим или новым инцидентом:

  1. В главном меню выберите Мониторинг и отчеты Алерты.
  2. Если в Kaspersky Security Center Cloud Console интегрированы как Kaspersky EDR Optimum, так и Kaspersky EDR Expert, раздел Алерты разделен на вкладки. Перейдите на вкладку Expert. В противном случае, пропустите этот шаг.
  3. Установите флажки рядом с алертами, которые вы хотите связать с инцидентом.
  4. Чтобы связать алерты с существующим инцидентом:
    1. Нажмите на кнопку Связать с инцидентом.
    2. Выберите инцидент, с которым требуется связать алерты.
  5. Чтобы связать алерты с новым инцидентом:
    1. Нажмите на кнопку Создать инцидент.
    2. Укажите свойства нового инцидента: имя, ответственного и приоритет.
  6. Нажмите на кнопку Сохранить.

Выбранные алерты будут связаны с существующим или новым инцидентом.

Связь алертов автоматически

В Kaspersky EDR Expert есть встроенные правила для автоматической связи алертов с инцидентами. По умолчанию эти правила отключены. Вы можете включить их, чтобы обрабатывать недавно зарегистрированные алерты. Можно включать или отключать только все правила сразу.

Правила автоматического создания инцидентов:

  • Правило 1. Связь нового алерта с существующим инцидентом

    Kaspersky EDR Expert связывает новый алерт с существующим инцидентом, если хотя бы один из следующих параметров алерта совпадает с соответствующим параметром инцидента:

    • Любое из наблюдаемых объектов (хеш MD5, веб-адрес, IP-адрес, доменное имя).

      Параметр хеш MD5 приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации алерта прошло менее 30 дней. Для остальных параметров (веб-адрес, IP-адрес, доменное имя) этот промежуток времени не должен превышать двух дней.

    • Идентификатор устройства из списка затронутых активов.

      Этот параметр приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации алерта прошло менее одного часа.

    • Сработавшее правило IOC.

      Этот параметр приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации алерта прошло менее одного часа.

    Другие условия, которые должны выполняться для срабатывания правила:

    • Инцидент должен содержать не более 200 алертов.
    • Статус инцидента отличен от Закрыт.
  • Правило 2. Создание инцидента из алертов на том же устройстве

    При регистрации нового алерта Kaspersky EDR Expert проверяет одновременное выполнение следующих условий:

    • Новый зарегистрированный алерт и алерты в таблице алертов имеют одинаковый идентификатор устройства.
    • Найденные алерты с совпадающим идентификатором устройства имеют статус Новый.
    • Найденные алерты с совпадающим идентификатором устройства были зарегистрированы в течение 30 минут до нового зарегистрированного алерта.

    Если выполнены эти условия, Kaspersky EDR Expert создает инцидент и связывает новые и найденные алерты с новым инцидентом.

  • Правило 3. Создание инцидента из отдельного алерта

    Kaspersky EDR Expert создает инцидент и связывает с ним новое зарегистрированное алерт, если выполняются следующие условия:

    • Алерт был зарегистрирован в результате срабатывания правила IOC.
    • Не сработало ни Правило 1, ни Правило 2 для автоматического создания инцидентов.

Чтобы включить правила автоматического создания инцидентов:

  1. Перейдите в раздел Параметры консоли Интеграция.

    Откроется окно Параметры консоли.

  2. На вкладке Интеграция выберите раздел Kaspersky EDR Expert.
  3. Нажмите на ссылку Параметры рядом с параметром Создание инцидента.

    Откроется окно Создание инцидента.

  4. Выберите параметр Включить правила автоматического создания инцидентов.
  5. Нажмите на кнопку OK.

Правила автоматического создания инцидентов будут включены.

См. также:

Об алертах

Просмотр таблицы алертов

Отмена связи алертов с инцидентами

Об инцидентах
Идентификатор статьи: 221566, Последнее изменение: 25 февр. 2025 г.
В начало