О таблице инцидентов

В основной части раздела Инциденты отображается таблица с информацией о зарегистрированных инцидентах. При необходимости вы можете изменить набор столбцов и порядок их отображения в таблице.

Как настроить таблицу инцидентов

В правом верхнем углу таблицы инцидентов нажмите на значок .
Откроется окно настройки таблицы.
Установите флажки напротив тех параметров, которые требуется отображать в таблице.
Когда вы устанавливаете флажок, таблица событий обновляется и добавляется новый столбец. При снятии флажка столбец исчезает.

С помощью поля Поиск можно искать параметры таблицы.

При нажатии на кнопку По умолчанию для отображения выбираются следующие столбцы:
- Название.
- Длительность инцидента.
- Назначен.
- Создано.
- Тенант.
- Статус.
- Количество алертов.
- Уровень важности.
- Категории затронутых активов.
При необходимости измените порядок отображения столбцов, перетащив заголовки столбцов.
Чтобы отсортировать инциденты по определенному параметру, нажмите на заголовок нужного столбца и в раскрывающемся списке выберите один из вариантов: По возрастанию или По убыванию.
Чтобы отфильтровать инциденты по определенному параметру, нажмите на заголовок нужного столбца и в раскрывающемся списке выберите требуемые фильтры. Набор фильтров, доступный в раскрывающемся списке, зависит от выбранного столбца.
Чтобы снять фильтры, нажмите на заголовок нужного столбца и выберите Очистить фильтр.

Доступные столбцы таблицы инцидентов:

Название – название инцидента.
Длительность инцидента – время, на протяжении которого происходил инцидент (время между первым и последним событием, относящимся к инциденту).
Назначен – имя сотрудника службы безопасности, которому инцидент передан для расследования или реагирования.
Создано – дата и время создания инцидента. С помощью этого столбца инциденты можно фильтровать по времени их создания.
- Доступны преднастроенные периоды: Сегодня, Вчера, На этой неделе, На прошлой неделе.
- При необходимости можно задать произвольный период с помощью календаря, который открывается при выборе пунктов До даты, После даты, В течение периода.
Тенант – название тенанта, которому принадлежит инцидент.
Статус – текущее состояние инцидента:
- Открыт – новый, еще не обработанный инцидент.
- Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
- Закрыт – инцидент закрыт, угроза безопасности устранена.
Количество алертов – количество алертов, входящих в инцидент. Учитываются только алерты тех тенантов, к которым у вас есть доступ.
Уровень важности – степень значимости потенциальной угрозы безопасности: Критический , Высокий , Средний , Низкий .
Категории затронутых активов – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
Изменен – дата и время последнего изменения, сделанного в инциденте.
Первое событие и Последнее событие – дата и время первого и последнего события в инциденте.
Категория инцидента и Тип инцидента – категория и тип угрозы, присвоенные инциденту.
Экспорт в НКЦКИ – статус экспорта данных об инциденте в НКЦКИ:
- Не экспортировался – данные не передавались в НКЦКИ.
- Ошибка экспорта – попытка передать данные в НКЦКИ завершилась ошибкой, данные не переданы.
- Экспортирован – данные об инциденте успешно переданы в НКЦКИ.
Ветвь – данные о том, в каком узле был создан инцидент. По умолчанию отображаются инциденты вашего узла. Этот столбец отображается только при включенном режиме иерархии.

В поле Поиск можно ввести регулярное выражение для поиска инцидентов по связанным с ними активами, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:

Активы: название, FQDN, IP-адрес.
Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
Корреляционные правила: название.
Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
Тенанты: название.

При фильтрации инцидентов по какому-либо параметру соответствующий столбец в таблице инцидентов подсвечивается желтым цветом.

В начало