Обработка алертов

Вы можете изменить уровень важности алерта, назначить алерт пользователю, закрыть алерт или создать на основе алерта инцидент.

Чтобы обработать алерт:

  1. Выберите необходимые алерты одним из следующих способов:
    • В разделе Алерты веб-интерфейса KUMA нажмите на алерт, сведения о котором вы хотите просмотреть.

      Открывается окно алерта, в верхней его части расположена панель инструментов.

    • В разделе Алерты веб-интерфейса KUMA установите флажок рядом с требуемым алертом. Можно выбрать более одного алерта.

      Алерты со статусом Закрыт не могут быть выбраны для обработки.

      В нижней части окна отображается панель инструментов.

  2. Измените уровень важности алерта с помощью раскрывающегося списка Уровень важности:
    • Низкий
    • Средний
    • Высокий
    • Критический

    Уровень важности алерта принимает выбранное значение.

  3. Назначьте алерт пользователю с помощью раскрывающегося списка Назначить.

    Вы можете назначить алерт себе, выбрав Мне.

    Статус алерта меняется на Назначен, а в раскрывающемся списке Назначить отображается имя выбранного пользователя.

  4. Создайте на основе алерта инцидент:
    1. Нажмите Создать инцидент.

      Откроется окно создания инцидента. В качестве названия инцидента используется название алерта.

    2. Измените нужны параметры инцидента и нажмите Сохранить.

    Инцидент создан, статус алерта меняется на Эскалирован. Алерт можно отвязать от инцидента, выбрав его и нажав Отвязать.

  5. Закройте алерт:
    1. Нажмите Закрыть алерт.

      Откроется окно подтверждения.

    2. Укажите причину закрытия алерта:
      • Отработан. Это означает, что были приняты необходимые меры по устранению угрозы безопасности.
      • Неверные данные. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности.
      • Неверное правило корреляции. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности. Возможно, требуется коррекция правила корреляции.
    3. Нажмите ОК.

    Статус алерта меняется на Закрыт. Алерты с таким статусом не обновляются новыми событиями корреляции и отображаются в таблице алертов, только если в раскрывающемся списке Статус установлен флажок Закрыт. Изменить статус закрытого алерта или назначить его другому пользователю невозможно.

В начало