Kaspersky Unified Monitoring and Analysis Platform
3.0.3
Русский

Содержание

О таблице инцидентов

В основной части раздела Инциденты отображается таблица с информацией о зарегистрированных инцидентах. При необходимости вы можете изменить набор столбцов и порядок их отображения в таблице.

Как настроить таблицу инцидентов

  1. В правом верхнем углу таблицы инцидентов нажмите на значок шестеренки ().

    Откроется окно настройки таблицы.

  2. Установите флажки напротив тех параметров, которые требуется отображать в таблице.

    Когда вы устанавливаете флажок, таблица событий обновляется и добавляется новый столбец. При снятии флажка столбец исчезает.

    С помощью поля Поиск можно искать параметры таблицы.

    При нажатии на кнопку По умолчанию для отображения выбираются следующие столбцы:

    • Название.
    • Длительность инцидента.
    • Назначен.
    • Создано.
    • Тенант.
    • Статус.
    • Количество обнаружений.
    • Уровень важности.
    • Категории затронутых активов.
  3. При необходимости измените порядок отображения столбцов, перетащив заголовки столбцов.
  4. Чтобы отсортировать инциденты по определенному параметру, нажмите на заголовок нужного столбца и в раскрывающемся списке выберите один из вариантов: По возрастанию или По убыванию.
  5. Чтобы отфильтровать инциденты по определенному параметру, нажмите на заголовок нужного столбца и в раскрывающемся списке выберите требуемые фильтры. Набор фильтров, доступный в раскрывающемся списке, зависит от выбранного столбца.
  6. Чтобы снять фильтры, нажмите на заголовок нужного столбца и выберите Очистить фильтр.

Доступные столбцы таблицы инцидентов:

  • Название – название инцидента. Инциденты, поступившие от НКЦКИ, содержат в названии префикс ALRT*.
  • Длительность инцидента – время, на протяжении которого происходил инцидент (время между первым и последним событием, относящимся к инциденту).
  • Назначен – имя сотрудника службы безопасности, которому инцидент передан для расследования или реагирования.
  • Создан – дата и время создания инцидента. С помощью этого столбца инциденты можно фильтровать по времени их создания.
    • Доступны преднастроенные периоды: Сегодня, Вчера, На этой неделе, На прошлой неделе.
    • При необходимости можно задать произвольный период с помощью календаря, который открывается при выборе пунктов До даты, После даты, В течение периода.
  • Тенант – название тенанта, которому принадлежит инцидент.
  • Статус – текущее состояние инцидента:
    • Открыт – новый, еще не обработанный инцидент.
    • Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
    • Закрыт – инцидент закрыт, угроза безопасности устранена.
  • Количество алертов – количество алертов, входящих в инцидент. Учитываются только алерты тех тенантов, к которым у вас есть доступ.
  • Уровень важности степень значимости потенциальной угрозы безопасности: Критический , Высокий , Средний , Низкий .
  • Категории затронутых активов – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
  • Последнее обновление – дата и время последнего изменения, сделанного в инциденте.
  • Первое событие и Последнее событие – дата и время первого и последнего события в инциденте.
  • Категория инцидента и Тип инцидентакатегория и тип угрозы, присвоенные инциденту.
  • Экспорт в НКЦКИ – статус экспорта данных об инциденте в НКЦКИ:
    • Не экспортировался – данные не передавались в НКЦКИ.
    • Ошибка экспорта – попытка передать данные в НКЦКИ завершилась ошибкой, данные не переданы.
    • Экспортирован – данные об инциденте успешно переданы в НКЦКИ.
  • Ветвь – данные о том, в каком узле был создан инцидент. По умолчанию отображаются инциденты вашего узла. Этот столбец отображается только при включенном режиме иерархии.
  • КИИ – указание на то, относятся ли к инциденту активы, являющиеся объектами КИИ. Столбец скрыт от пользователей, не имеющих прав доступа к объектам КИИ.

В поле Поиск можно ввести регулярное выражение для поиска инцидентов по связанным с ними активами, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:

  • Активы: название, FQDN, IP-адрес.
  • Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
  • Корреляционные правила: название.
  • Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
  • Тенанты: название.

При фильтрации инцидентов по какому-либо параметру соответствующий столбец в таблице инцидентов подсвечивается желтым цветом.

В начало
[Topic 220214]