Настройка таблицы алертов

В основной части раздела Алерты отображается таблица с информацией о зарегистрированных алертах.

В таблице алертов отображаются следующие столбцы:

• Уровень важности () – степень значимости потенциальной угрозы безопасности: критическая , высокая , средняя , низкая .
• Название – имя алерта.

  Если рядом с названием алерта отображается тег Переполнен, это означает, что размер алерта достиг или приближается к пределу и должен быть обработан как можно скорее.

• Статус – текущее состояние алерта:
  • Новый – новый, еще не обработанный алерт.
  • Назначен – алерт обработан и передан сотруднику службы безопасности для расследования или реагирования.
  • Закрыт – алерт закрыт. Алерт был ложный или угроза безопасности устранена.
  • Эскалирован – на основе этого алерта был создан инцидент.
• Назначен – имя сотрудника службы безопасности, которому алерт передан для расследования или реагирования.
• Инцидент – название инцидента, к которому привязан алерт.
• Дополнительная информация – значение поля, выбранного для отображения в разделе Информация об алерте при настройке параметров наполнения алерта. При выборе некоторых полей (например, SourceAddress, DestinationAddress, SourceUserName, DestinationUserName) дополнительно отображаются связанные с ними поля (SourceAssetName, DestinationAssetName, SourceAccountName, DestinationAccountName). Значения этих полей объединяются и отображаются в столбце Дополнительная информация через запятую в следующем порядке: сначала выбранное поле, затем дополнительное.

  Для выбранного поля отображается самое раннее зафиксированное и непустое значение поля события, связанного с алертом.

  По умолчанию столбец не отображается в таблице. Чтобы добавить его, нужно нажать на значок в виде шестеренки () и установить флажок рядом с названием столбца. .

• Первое появление – дата и время создания первого корреляционного события в последовательности событий, приведшего к созданию алерта.
• Последнее появление – дата и время создания последнего корреляционного события в последовательности событий, приведшего к созданию или обновлению алерта.
• Категории – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
• Тенант – название тенанта, которому принадлежит алерт.
• КИИ – указание на то, относятся ли к алерту активы, являющиеся объектами КИИ. Столбец скрыт от пользователей, не имеющих прав доступа к объектам КИИ.

По нажатию на заголовки столбцов вы можете просмотреть инструменты для фильтрации алертов. При фильтрации алертов по какому-либо параметру соответствующий заголовок таблицы алертов подсвечивается желтым цветом.

Нажав на значок в виде шестеренки (), вы можете настроить отображаемые столбцы таблицы алертов.

В поле Поиск можно ввести регулярное выражение для поиска алертов по связанным с ними активам, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:

• Активы: название, FQDN, IP-адрес.
• Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
• Корреляционные правила: название.
• Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
• Тенанты: название.

В начало