Просмотр информации об алерте
Чтобы просмотреть информацию об алерте:
- В окне веб-интерфейса программы выберите раздел Алерты.
Отобразится таблица алертов.
- Нажмите на название алерта, информацию о котором вы хотите просмотреть.
Откроется окно с информацией об алерте.
В верхней части окна с информацией об алерте расположена панель инструментов, а также указаны уровень важности алерта и имя пользователя, которому назначен этот алерт. В этом окне можно обработать алерт: изменить его уровень важности, назначить его пользователю, закрыть, создать на его основе инцидент.
Раздел Информация об алерте
Этот раздел позволяет просмотреть основную информацию об алерте. Он содержит следующие данные:
- Уровень важности правила корреляции – уровень важности правила корреляции, в результате срабатывания которого создан алерт.
- Наивысшая важность категории активов – самый высокий уровень важности категории активов из тех, которые принадлежат связанным с этим алертом активам. Если с алертом связано несколько активов, отображается наибольшее значение.
- Привязан к инциденту – если алерт привязан к инциденту, то отображаются название и статус алерта. Если алерт не привязан к инциденту, поле не заполнено.
- Первое появление – дата и время создания первого корреляционного события в последовательности событий, приведшего к созданию алерта.
- Последнее появление – дата и время создания последнего корреляционного события в последовательности событий, приведшего к созданию или обновлению алерта.
- Идентификатор алерта – уникальный идентификатор алерта в KUMA.
- Тенант – название тенанта, которому принадлежит алерт.
- Правило корреляции – название правила корреляции, в результате срабатывания которого создан алерт. Название правила представлено в виде ссылки, по которой можно перейти к настройкам этого правила корреляции.
- Переполнен – тег, означающий, что размер алерта достиг или приближается к пределу объема в 16 МБ и алерт необходимо обработать. Новые события не добавляются к переполненным алертам, но по ссылке Смотреть все возможные связанные события можно отфильтровать все события, которые могли быть связаны с алертом при отсутствии переполнения.
Быстрое переполнение алерта может означать, что неверно настроено соответствующее корреляционное правило, и это приводит к частым срабатываниям. Переполненные алерты следует обрабатывать как можно скорее, чтобы при необходимости откорректировать корреляционное правило.
Раздел Связанные события
Этот раздел содержит таблицу событий, относящихся к алерту. Если нажать на значок стрелки (
) рядом с правилом корреляции, отобразятся базовые события из этого правила корреляции. События можно сортировать по уровню важности и времени.
При выборе события в таблице открывается область деталей, содержащая информацию о выбранном событии. В области деталей также отображает кнопка Подробные сведения, при нажатии на которую открывается окно, содержащее информацию о корреляционном событии.
Ссылки Найти в событиях под корреляционными событиями и кнопка Найти в событиях справа от заголовка раздела используются для перехода к расследованию алерта.
С помощью кнопки Скачать события вы можете скачать информацию о связанных событиях в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы, заполненные хотя бы в одном связанном событии.
Некоторые редакторы CSV-файлов воспринимают значение разделителя (например, \n) в экспортируемом из KUMA CSV-файла как перенос строки, а не как разделитель. Может быть нарушено разделение файла на строки. Если вы столкнулись с подобным, то может потребоваться дополнительное редактирование CSV-файла, полученного из KUMA.
В таблице событий, в области деталей событий, в окне алертов, а также в виджетах в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID вместо идентификаторов отображаются названия активов, учетных записей или сервисов. При экспорте событий в файл идентификаторы сохраняются, однако в файл добавляются столбцы с названиями. Идентификаторы также отображаются при наведении указателя мыши на названия активов, учетных записей или сервисов.
Поиск по полям с идентификаторами возможен только с помощью идентификаторов.
Раздел Связанные активы
Этот раздел содержит таблицу активов, относящихся к алерту. Информация об активах поступает из событий, связанных с алертом. С помощью поля Поиск по IP или FQDN можно искать нужные активы. Активы можно сортировать по столбцам Количество и Актив.
В этом разделе также отображаются активы, связанные с алертом. При нажатии на название актива открывается окно Информация об активе. В открывшемся окне в разделе Связанные алерты с помощью раскрывающегося списка Найти связанные алерты вы можете выбрать период, за который вы хотите найти связанные алерты: за последний день, неделю, две недели (значение по умолчанию), месяц или год. После того как вы выберете период, ниже отобразится количество найденных связанных алертов. Для просмотра полного списка нужно нажать на кнопку Найти в алертах, после чего откроется страница Алерты с отфильтрованным списком найденных связанных алертов.
С помощью кнопки Скачать активы вы можете скачать информацию о связанных активах в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы: Количество, Название, IP-адрес, Полное доменное имя, Категории.
Раздел Связанные пользователи
Этот раздел содержит таблицу пользователей, относящихся к алерту. Информация о пользователях поступает из событий, связанных с алертом. С помощью поля Поиск пользователей можно искать нужных пользователей. Пользователей можно сортировать по столбцам Количество, Пользователь, User principal name (Основное имя пользователя) и Адрес электронной почты.
С помощью кнопки Скачать пользователей вы можете скачать информацию о связанных пользователях в виде файла в формате CSV (в кодировке UTF-8). В файле доступны столбцы: Количество, Пользователь, Имя участника-пользователя (UPN), Адрес электронной почты, Домен, Тенант.
Раздел Журнал изменений
Этот раздел содержит записи об изменениях, которые пользователи внесли в алерт. Изменения регистрируются автоматически, при этом есть возможность вручную добавлять комментарии. Комментарии можно сортировать по столбцу Время.
При необходимости в поле Комментарий вы можете внести комментарий к алерту и нажать Добавить, чтобы сохранить его.