Вам может потребоваться отменить связь между обнаружением и инцидентом, например, если при анализе и расследовании обнаружения выяснилось, что оно не связано с другими обнаружениями в инциденте. При отмене связи между обнаружением и инцидентом, Kaspersky EDR Expert выполняет следующие действия:
Обновляет все данные инцидента с учетом того, что обнаружение больше не относится к инциденту. Например, вы можете просмотреть изменения в информации об инциденте.
Устанавливает статус Новое для несвязанных обнаружений.
Вы можете отменить связь обнаружений с инцидентами в таблице обнаружений или в разделе информации об инциденте.
Отмена связи обнаружений с инцидентами в таблице обнаружений
Чтобы отменить связь между обнаружением и инцидентом, выполните следующие действия:
В главном меню выберите МОНИТОРИНГ И ОТЧЕТЫ→Обнаружения.
Если в Kaspersky Security Center Cloud Console интегрированы как Kaspersky EDR Optimum, так и Kaspersky EDR Expert, раздел Обнаружения имеет две закладки. Перейдите на закладку Expert. В противном случае, пропустите этот шаг.
Установите флажки напротив обнаружений, для которых требуется отменить связь с инцидентами.
Нажмите кнопку Удалить связь с инцидентом.
Откроется окно Удалить связь обнаружений.
При необходимости введите комментарий. Вы можете указать причину отмены связи с обнаружениями. Комментарий будет добавлен в раздел Комментарии в информации об обнаружении.
При необходимости измените ответственного за обнаружения, связь с которыми вы отменили.
Нажмите на кнопку Сохранить.
Выбранные обнаружения больше не будут связаны с инцидентами.
Отмена связи обнаружений с инцидентами в разделе информации об инциденте
Чтобы отменить связь между обнаружением и инцидентом, выполните следующие действия:
В главном меню выберите МОНИТОРИНГ И ОТЧЕТЫ→Инциденты.
В таблице инцидентов нажмите на идентификатор инцидента, для которого требуется отменить связь с обнаружениями.
Откроется окно с информацией об инциденте.
В разделе Обнаружения установите флажки напротив обнаружений, для которых требуется отменить связь с инцидентом.
Нажмите кнопку Удалить связь с инцидентом.
Выбранные обнаружения больше не будут связаны с инцидентом.