Просмотр информации об алерте

Чтобы просмотреть информацию об алерте:

1. В окне веб-интерфейса программы выберите раздел Алерты.

   Отобразится таблица алертов.

2. Нажмите на имя алерта, информацию о котором вы хотите просмотреть.

   Откроется окно с информацией об алерте.

В верхней части окна с информацией об алерте расположена панель инструментов, а также указаны уровень важности алерта и имя пользователя, которому назначен этот алерт. В этом окне можно обработать алерт: изменить его уровень важности, назначить его пользователю, закрыть, создать на его основе инцидент.

Раздел Информация об алерте

Этот раздел позволяет просмотреть основную информацию об алерте. Он содержит следующие данные:

• Уровень важности правила корреляции – уровень важности правила корреляции, в результате срабатывания которого создан алерт.
• Наивысшая важность категории активов – самый высокий уровень важности категории активов из тех, которые принадлежат связанным с этим алертом активам. Если с алертом связано несколько активов, отображается наибольшее значение.
• Привязан к инциденту – если алерт привязан к инциденту,то отображаются название и статус алерта.
• Первое появление – дата и время создания первого корреляционного события в последовательности событий, приведшего к созданию алерта.
• Последнее появление – дата и время создания последнего корреляционного события в последовательности событий, приведшего к созданию или обновлению алерта.
• Идентификатор алерта – уникальный идентификатор алерта в KUMA.
• Тенант – название тенанта, которому принадлежит алерт.
• Правило корреляции – название правила корреляции, в результате срабатывания которого создан алерт. Название правила представлено в виде ссылки, по которой можно перейти к настройкам этого правила корреляции.
• Переполнен – тег, означающий, что размер алерта достиг или приближается к пределу объема в 16 МБ и алерт необходимо обработать как можно скорее. Новые события не добавляются к переполненным алертам, но по ссылке Смотреть все возможные связанные события можно отфильтровать все события, которые могли быть связаны с алертом при отсутствии переполнения.

Раздел Связанные события

Этот раздел содержит таблицу событий, относящихся к алерту. Если нажать значок рядом с правилом корреляции, отобразятся базовые события из этого правила корреляции. События можно сортировать по уровню важности и времени.

При выборе события в таблице открывается область деталей, содержащая информацию о выбранном событии. В области деталей также отображает кнопка Подробные сведения, при нажатии на которую открывается окно, содержащее информацию о корреляционном событии.

Ссылки Найти в событиях под корреляционными событиями и кнопка Найти в событиях справа от заголовка раздела используются для детализированного анализа.

С помощью кнопки Скачать события вы можете скачать информацию о связанных событиях в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы, заполненные хотя бы в одном связанном событии.

Некоторые редакторы CSV-файлов воспринимают значение разделителя (например, \n) в экспортируемом из KUMA CSV-файла как перенос строки, а не как разделитель. Может быть нарушено разделение файла на строки. Если вы столкнулись с подобным, то может потребоваться дополнительное редактирование CSV-файла, полученного из KUMA.

Раздел Связанные активы

Этот раздел содержит таблицу хостов, относящихся к алерту. Информация о хостах поступает из событий, связанных с алертом. С помощью поля Поиск по IP или FQDN можно искать нужные хосты. Активы можно сортировать по столбцам Количество и Актив.

В этом разделе также отображаются активы, связанные с алертом. При нажатии на название актива открывается окно Информация об активе.

С помощью кнопки Скачать активы вы можете скачать информацию о связанных активах в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы: Количество, Название, IP-адрес, Полное доменное имя, Категории.

Раздел Связанные пользователи

Этот раздел содержит таблицу пользователей, относящихся к алерту. Информация о пользователях поступает из событий, связанных с алертом. С помощью поля Поиск пользователей можно искать нужных пользователей. Пользователей можно сортировать по столбцам Количество, Пользователь, User principal name (Основное имя пользователя) и Адрес электронной почты.

С помощью кнопки Скачать пользователей вы можете скачать информацию о связанных пользователях в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы: Количество, Пользователь, User principal name, Адрес электронной почты, Домен.

Раздел Журнал изменений

Этот раздел содержит записи об изменениях, которые пользователи внесли в алерт. Изменения регистрируются автоматически, при этом есть возможность вручную добавлять комментарии. Комментарии можно сортировать по столбцу Время.

При необходимости в поле Комментарий вы можете внести комментарий к алерту и нажать Добавить, чтобы сохранить его.

В начало