Kaspersky Unified Monitoring and Analysis Platform
2.0
Русский

Содержание

Обработка алертов

Вы можете изменить уровень важности алерта, назначить алерт пользователю, закрыть алерт или создать на основе алерта инцидент.

Чтобы обработать алерт:

  1. Выберите необходимые алерты одним из следующих способов:
    • В разделе Алерты веб-интерфейса KUMA нажмите на алерт, сведения о котором вы хотите просмотреть.

      Открывается окно алерта, в верхней его части расположена панель инструментов.

    • В разделе Алерты веб-интерфейса KUMA установите флажок рядом с требуемым алертом. Можно выбрать более одного алерта.

      Алерты со статусом Закрыт не могут быть выбраны для обработки.

      В нижней части окна отображается панель инструментов.

  2. Измените уровень важности алерта с помощью раскрывающегося списка Уровень важности:
    • Низкий
    • Средний
    • Высокий
    • Критический

    Уровень важности алерта принимает выбранное значение.

  3. Назначьте алерт пользователю с помощью раскрывающегося списка Назначить.

    Вы можете назначить алерт себе, выбрав Мне.

    Статус алерта меняется на Назначен, а в раскрывающемся списке Назначить отображается имя выбранного пользователя.

  4. Создайте на основе алерта инцидент:
    1. Нажмите Создать инцидент.

      Откроется окно создания инцидента. В качестве названия инцидента используется название алерта.

    2. Измените нужны параметры инцидента и нажмите Сохранить.

    Инцидент создан, статус алерта меняется на Эскалирован. Алерт можно отвязать от инцидента, выбрав его и нажав Отвязать.

  5. Закройте алерт:
    1. Нажмите Закрыть алерт.

      Откроется окно подтверждения.

    2. Укажите причину закрытия алерта:
      • Отработан. Это означает, что были приняты необходимые меры по устранению угрозы безопасности.
      • Неверные данные. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности.
      • Неверное правило корреляции. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности. Возможно, требуется коррекция правила корреляции.
    3. Нажмите ОК.

    Статус алерта меняется на Закрыт. Алерты с таким статусом не обновляются новыми событиями корреляции и отображаются в таблице алертов, только если в раскрывающемся списке Статус установлен флажок Закрыт. Изменить статус закрытого алерта или назначить его другому пользователю невозможно.

В начало
[Topic 217956]