Kaspersky Endpoint Detection and Response Expert
- Справка Kaspersky Endpoint Detection and Response Expert
- О решении Kaspersky Endpoint Detection and Response Expert
- Лицензирование Kaspersky Endpoint Detection and Response Expert
- Предоставление данных
- Начало работы
- Управление пользователями
- Алерты
- Инциденты
- Поиск угроз
- О поиске угроз
- Создание и выполнение запросов поиска угроз
- Синтаксис запросов поиска угроз
- Создание IOA-правил на основе запросов
- Просмотр и настройка списка событий
- Настройка таблицы событий
- Просмотр информации о событии
- Просмотр дерева событий
- Просмотр информации о связанных событиях в дереве событий
- Пользовательские правила
- О пользовательских правилах
- Просмотр и настройка списка пользовательских правил
- Просмотр информации о пользовательском правиле
- Информация о пользовательских правилах
- Настройка таблицы пользовательских правил
- Создание пользовательских IOA-правил
- Создание исключений из IOA-правил "Лаборатории Касперского"
- Изменение пользовательских правил
- Включение и отключение пользовательских правил
- Удаление пользовательских IOA-правил
- Удаление исключений
- Действия по реагированию
- Мониторинг и отчеты
- Связаться со Службой технической поддержки
- Прекращение использования решения Kaspersky Endpoint Detection and Response Expert
- Источники информации о программе
- Глоссарий
- Известные проблемы
- Информация о стороннем коде
- Уведомления о товарных знаках
Просмотр информации об инциденте
Информация об инциденте – это страница в интерфейсе, содержащая всю информацию, относящуюся к инциденту, включая свойства инцидента.
Чтобы просмотреть информацию об инциденте:
- В главном меню выберите Мониторинг и отчеты → Инциденты.
- В таблице инцидентов нажмите на идентификатор требуемого инцидента.
Откроется окно с информацией об инциденте.
Панель инструментов в верхней части раздела информации об инциденте позволяет выполнять следующие действия:
- Назначить инцидент аналитику
- Изменить статус инцидента
- Связать алерты с инцидентом
- Объединить инцидент с другими инцидентами
В информации об инциденте содержатся следующие разделы:
Раздел общей информации содержит следующие свойства инцидента:
- Уровень важности. Возможные значения: Низкий, Средний, Высокий. Уровень важности инцидента показывает, какое влияние этот инцидент может оказать на безопасность компьютеров и корпоративной локальной сети на основе опыта "Лаборатории Касперского".
- Приоритет: Низкий, Средний, Высокий, Критический. Приоритет инцидентов определяет порядок расследования инцидентов. Инциденты с приоритетом Критический – самые срочные, их необходимо расследовать в первую очередь. Вы можете изменить приоритет, нажав на его текущее значение.
- Название инцидента. Название, указанное при создании инцидента. Вы можете изменить название инцидента.
- Способ создания. Как был создан инцидент: вручную или автоматически.
- Правила. Правила IOC или правила IOA, сработавшие для связанных алертов.
- Создан. Дата и время создания инцидента.
- Обновлен. Дата и время последнего изменения в истории инцидента.
- Первое событие. Дата и время возникновения первого события, связанного с инцидентом. Это самое раннее событие в разделе Сведения в деталях алерта среди всех алертов, связанных с инцидентом.
- Последнее событие. Дата и время возникновения последнего события, связанного с инцидентом. Это последнее событие в разделе Сведения в деталях алерта среди всех алертов, связанных с инцидентом.
- Технология. Технологии, выявившие алерты, связанные с инцидентом.
- Источник обнаружения. Приложение, получившее данные телеметрии.
- Тактика MITRE. Тактики, выявленные в алертах, связанных с инцидентом. Тактики определены в базе знаний MITRE ATT&CK.
- Техника MITRE. Техники, выявленные в алертах, связанных с инцидентом. Техники определены в базе знаний MITRE ATT&CK.
- Имя и идентификатор устройства. Имена и идентификаторы устройств, затронутых инцидентом. По нажатию на значок с многоточием рядом с именем или идентификатором устройства можно открыть контекстное меню устройства. Это меню используется для получения дополнительных сведений об устройстве, например, для просмотра свойств устройства или поиска по имени или идентификатору устройства в разделе Поиск угроз.
- Имя и идентификатор безопасности пользователя. Имена и идентификаторы безопасности пользователей, устройства или учетные записи которых были затронуты инцидентом. По нажатию на значок с многоточием рядом с именем или идентификатором безопасности пользователя можно открыть контекстное меню пользователя. Это меню используется для получения дополнительных сведений об учетной записи пользователя, например, для поиска по имени или идентификатору безопасности пользователя в разделе Поиск угроз.
- Похожие инциденты
В разделе Похожие инциденты можно просмотреть список инцидентов, которые затрагивали те же артефакты, что и текущий инцидент. Затронутые артефакты включают наблюдаемые объекты и затронутые устройства алертов, связанных с инцидентом. Список содержит инциденты, имеющие любой статус.
Этот список позволит оценить степень сходства текущего инцидента с другими инцидентами. Сходство рассчитывается следующим образом:
Сходство = M / T * 100
Где M – это количество совпадающих артефактов в текущем и сравниваемом инциденте, а T – это общее количество артефактов в текущем инциденте.
Если сходство составляет 100%, текущий инцидент полностью совпадает со сравниваемым инцидентом. Если сходство составляет 0%, текущий и сравниваемый инциденты полностью различаются. Инциденты со сходством, равным 0%, не включаются в список.
Рассчитанное значение округляется до ближайшего целого числа. Если сходство составляет от 0% до 1%, это значение не округляется до 0%. В этом случае отображается значение "менее 1%".
По щелчку на идентификаторе инцидента открывается информация об инциденте.
Настройка списка похожих инцидентов
Вы можете настроить таблицу, выполнив следующие действия:
- Отфильтруйте инциденты, выбрав период, в течение которого были обновлены инциденты. По умолчанию список содержит инциденты, обновленные за последние 30 дней.
- Щелкните значок Настройка столбцов (
) и выберите, какие столбцы и в каком порядке будут отображаться. - Щелкните значок Фильтр (
) и выберите и настройте фильтры, которые требуется применить. Если вы выбрали несколько фильтров, они применяются одновременно, как объединенные логическим оператором И. - Щелкните по заголовку столбца и выберите параметры сортировки. Вы можете отсортировать инциденты в порядке возрастания или убывания.
- Алерты
В разделе Алерты можно просмотреть список алертов, связанных с текущим инцидентом.
Нажмите на идентификатор алерта, чтобы просмотреть детали алерта. Вы также можете использовать кнопки на панели инструментов, чтобы отменить связь алертов с инцидентом или назначить алерты себе.
- Активы
В разделе Активы можно просмотреть устройства и пользователей, затронутых инцидентом или участвующих в нем.
Щелкнув по имени пользователя или устройства, можно выполнить следующие действия:
- Выполнить поиск по имени пользователя или идентификатору устройства в разделе Поиск угроз за последние 24 часа.
- Выполнить поиск по имени пользователя или идентификатору устройства среди других алертов.
- Выполнить поиск по имени пользователя или идентификатору устройства среди других инцидентов.
- Скопировать имя пользователя или устройства в буфер обмена.
Вы также можете щелкнуть по имени устройства, чтобы перейти к свойствам устройства.
Щелкнув по идентификатору безопасности пользователя или идентификатору устройства, можно выполнить следующие действия:
- Выполнить поиск по идентификатору безопасности пользователя или идентификатору устройства в разделе Поиск угроз за последние 24 часа.
- Выполнить поиск по идентификатору безопасности пользователя или идентификатору устройства среди других алертов.
- Выполнить поиск по идентификатору безопасности пользователя или идентификатору устройства среди других инцидентов.
- Скопировать идентификатор безопасности пользователя или идентификатор устройства в буфер обмена.
Вы также можете щелкнуть по идентификатору устройства, чтобы перейти к свойствам устройства.
- Наблюдаемые объекты
В разделе Наблюдаемые объекты можно просмотреть наблюдаемые объекты, относящиеся к алертам, связанным с текущим инцидентом. Наблюдаемые объекты могут включать:
- MD5-хеш
- IP-адрес
- Веб-адрес
- Имя домена
Щелкнув по ссылке в столбцах Значение или Данные, можно выполнить следующие действия:
- Выполнить поиск наблюдаемого объекта или данных в разделе Поиск угроз за последние 24 часа.
- Выполнить поиск наблюдаемого объекта на Kaspersky Threat Intelligence Portal (открывается на новой вкладке браузера).
- Выполнить поиск наблюдаемого объекта или данных среди других алертов.
- Выполнить поиск наблюдаемого объекта или данных среди других инцидентов.
- Скопировать наблюдаемый объект или данные в буфер обмена.
- History
В разделе История можно отслеживать следующие изменения инцидента как рабочего элемента:
- Изменение статуса инцидента
- Смена ответственного за инцидент
- Связь алерта с инцидентом
- Отмена связи алерта с инцидентом
- Объединение инцидента с другими инцидентами
|
См. также: Назначение инцидентов аналитикам |