Содержание
Обработка алертов
Вы можете изменить уровень важности алерта, назначить алерт пользователю, закрыть алерт или создать на основе алерта инцидент.
Чтобы обработать алерт:
- Выберите необходимые алерты одним из следующих способов:
- В разделе Алерты веб-интерфейса KUMA нажмите на алерт, сведения о котором вы хотите просмотреть.
Откроется окно алерта, в верхней его части расположена панель инструментов.
- В разделе Алерты веб-интерфейса KUMA установите флажок рядом с требуемым алертом. Можно выбрать более одного алерта.
Алерты со статусом Закрыт не могут быть выбраны для обработки.
В нижней части окна отобразится панель инструментов.
- В разделе Алерты веб-интерфейса KUMA нажмите на алерт, сведения о котором вы хотите просмотреть.
- Измените уровень важности алерта с помощью раскрывающегося списка Уровень важности:
- Низкий.
- Средний.
- Высокий.
- Критический.
Уровень важности алерта принимает выбранное значение.
- Назначьте алерт пользователю с помощью раскрывающегося списка Назначить.
Вы можете назначить алерт себе, выбрав Мне.
Статус алерта изменится на Назначен, а в раскрывающемся списке Назначить отобразится имя выбранного пользователя.
- В разделе Связанные пользователи выберите пользователя и настройте параметры реагирования через Active Directory.
- После выбора связанного пользователя в открывшемся окне Информация об учетной записи нажмите Реагирование через Active Directory.
- В раскрывающемся списке Команда Active Directory выберите одно из следующих значений:
- Добавить учетную запись в группу
- Удалить учетную запись из группы
- Сбросить пароль учетной записи
- Блокировать учетную запись
- Нажмите Применить.
- При необходимости создайте на основе алерта инцидент:
- Нажмите Создать инцидент.
Откроется окно создания инцидента. В качестве названия инцидента используется название алерта.
- Измените нужны параметры инцидента и нажмите Сохранить.
Инцидент создан, статус алерта изменен на Эскалирован. Алерт можно отвязать от инцидента, выбрав его и нажав Отвязать.
- Нажмите Создать инцидент.
- Закройте алерт:
- Нажмите Закрыть алерт.
Откроется окно подтверждения.
- Укажите причину закрытия алерта:
- Отработан. Это означает, что были приняты необходимые меры по устранению угрозы безопасности.
- Неверные данные. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности.
- Неверное правило корреляции. Это означает, что алерт был ложным, а полученные события не указывают на угрозу безопасности. Возможно, требуется коррекция правила корреляции.
- Нажмите ОК.
Статус алерта изменен на Закрыт. Алерты с таким статусом не обновляются новыми корреляционными событиями и отображаются в таблице алертов, только если в раскрывающемся списке Статус установлен флажок Закрыт. Изменить статус закрытого алерта или назначить его другому пользователю невозможно.
- Нажмите Закрыть алерт.