Настройка таблицы алертов

В основной части раздела Алерты отображается таблица с информацией о зарегистрированных алертах.

В таблице алертов отображаются следующие столбцы:

• Уровень важности () – степень значимости потенциальной угрозы безопасности: критическая , высокая , средняя , низкая .
• Название – имя алерта.

  Если рядом с названием алерта отображается тег Переполнен, это означает, что размер алерта достиг или приближается к пределу и должен быть обработан как можно скорее.

• Статус – текущее состояние алерта:
  • Новый – новый, еще не обработанный алерт.
  • Назначен – алерт обработан и передан сотруднику службы безопасности для расследования или реагирования.
  • Закрыт – алерт закрыт. Алерт был ложный или угроза безопасности устранена.
  • Эскалирован – на основе этого алерта был создан инцидент.
• Назначен – имя сотрудника службы безопасности, которому алерт передан для расследования или реагирования.
• Инцидент – название инцидента, к которому привязан алерт.
• Первое появление – дата и время создания первого корреляционного события в последовательности событий, приведшего к созданию алерта.
• Последнее появление – дата и время создания последнего корреляционного события в последовательности событий, приведшего к созданию или обновлению алерта.
• Категории – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
• Тенант – название тенанта, которому принадлежит алерт.
• КИИ – указание на то, относятся ли к алерту активы, являющиеся объектами КИИ. Столбец скрыт от пользователей, не имеющих прав доступа к объектам КИИ.

По нажатию на заголовки столбцов вы можете просмотреть инструменты для фильтрации алертов. При фильтрации алертов по какому-либо параметру соответствующий заголовок таблицы алертов подсвечивается желтым цветом.

По кнопке вы можете настроить отображаемые столбцы таблицы алертов.

В поле Поиск можно ввести регулярное выражение для поиска алертов по связанным с ними активам, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:

• Активы: название, FQDN, IP-адрес.
• Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
• Корреляционные правила: название.
• Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
• Тенанты: название.

Фильтрация алертов

В KUMA в разделе Алерты можно делать выборки алертов с помощью инструментов фильтрации и сортировки.

Параметры фильтра можно сохранить. Существующие фильтры можно удалить.

Сохранение и выбор фильтра алертов

В KUMA можно сохранять изменения параметров таблицы алертов в виде фильтров. Фильтры сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA того тенанта, для которого они были созданы.

Чтобы сохранить текущие параметры фильтра:

1. В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
2. Выберите Сохранить текущий фильтр.

   Появится поле для ввода названия нового фильтра и выбора тенанта, которому он будет принадлежать.

3. Введите название фильтра. Название должно быть уникальным для фильтров алертов, фильтров инцидентов и фильтров событий.
4. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать фильтр, и нажмите Сохранить.

Фильтр сохранен.

Чтобы выбрать ранее сохраненный фильтр:

1. В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
2. Выберите нужный фильтр.

   Чтобы выбрать фильтр, который будет использоваться по умолчанию, поставьте в раскрывающемся списке Фильтры звездочку левее названия требуемого фильтра.

Фильтр выбран.

Чтобы сбросить текущие настройки фильтра,

откройте раскрывающийся список Фильтры и выберите Очистить фильтры.

Удаление фильтра алертов

Чтобы удалить ранее сохраненные фильтры:

1. В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
2. Нажмите значок на фильтре, который требуется удалить.
3. Нажмите ОК.

Фильтр удален для всех пользователей KUMA.