Работа с инцидентами и группами инцидентов

В Kaspersky MLAD в составе ML-модели одновременно могут использоваться несколько типов детекторов, которые анализируют поступающие данные телеметрии и обнаруживают инциденты независимо друг от друга. Веб-интерфейс Kaspersky MLAD предоставляет возможность исследования обнаруженных инцидентов. В зависимости от типа детектора, зарегистрировавшего инцидент, информация об инциденте и методы его исследования могут отличаться.

Для любого инцидента вы можете выполнить следующие действия:

• Изучить детали инцидента.
• Выяснить, были ли ранее обнаружены похожие инциденты.
• Исследовать поведение объекта мониторинга в момент обнаружения инцидента.
• Оставить замечание или экспертное заключение к зарегистрированному инциденту или к группе инцидентов.

В разделе Инциденты в виде столбчатой диаграммы отображаются инциденты, которые соответствуют критериям фильтрации, установленным под диаграммой. Диаграмма отображает статистику по зарегистрированным инцидентам за период, установленный над диаграммой.

Диаграмма может отображать не более 60 столбцов. Если длительность заданного периода не превышает 60 дней, то инциденты на диаграмме сгруппированы по дням. Если длительность заданного периода составляет от 60 дней до 60 недель, то инциденты на диаграмме сгруппированы по неделям. В случае, когда длительность заданного периода составляет больше 60 недель, инциденты на диаграмме сгруппированы по месяцам.

При наведении курсора мыши на столбец диаграммы отображается окно с указанием количества зарегистрированных инцидентов за единицу времени, соответствующую группировке инцидентов на диаграмме. При нажатии на столбец на диаграмме и в таблице ниже отображается информация об инцидентах, зарегистрированных в период, соответствующий интервалу времени выбранного столбца.

В этом разделе вы можете просматривать как отдельные инциденты, так и группы инцидентов.

Вкладка Инциденты

На вкладке Инциденты представлена таблица зарегистрированных инцидентов. Инциденты отсортированы в порядке убывания даты: первыми показаны самые новые инциденты.

Вкладка Инциденты

Вы можете перейти в раздел История, нажав на дату и время инцидента.

Вкладка Группы

На вкладке Группы представлена таблица групп инцидентов. Kaspersky MLAD автоматически формирует группы похожих инцидентов.

Вы можете изменить имя группы, присвоенное автоматически, и установить статус инцидентов, которые входят в эту группу. Также вы можете указать экспертное заключение, содержащее, например, рекомендуемые действия при возникновении новых инцидентов в этой группе.

Вкладка Группы

Сценарий: Анализ инцидентов

В этом разделе приводится последовательность действий, которые требуется выполнить при анализе зарегистрированных Kaspersky MLAD инцидентов.

Описанный в этом разделе сценарий анализа инцидентов не является четко регламентированным процессом. Состав и порядок действий, предпринимаемых для исследования инцидента и выявления причины его возникновения, зависят от предметной области, уровня знаний технолога или специалиста АСУ ТП, исследующего инцидент, а также наличия дополнительной информации об объекте мониторинга.

Сценарий анализа инцидентов состоит из следующих этапов:

1. Просмотр информации о зарегистрированном инциденте

   В разделе Инциденты отображаются все зарегистрированные Kaspersky MLAD инциденты, а также подробная информация о времени их регистрации, детекторе, который зарегистрировал инцидент, и экспертное заключение, если оно было добавлено. Вы можете перейти к просмотру информации об инцидентах одним из следующих способов:

   • Просмотр последних инцидентов в разделе Информационная панель

     Если вы хотите просмотреть недавно обнаруженный инцидент, в разделе Информационная панель нажмите на дату и время интересующего вас инцидента в таблице Последние инциденты. В открывшемся разделе История в нижней части страницы нажмите на точку-индикатор в блоке ошибки MSE для просмотра определенного инцидента. Откроется раздел Инциденты, в котором отобразятся только те инциденты, которые были зарегистрированы в период, представленный выбранной точкой-индикатором (период указан над таблицей инцидентов).

   • Просмотр инцидентов в разделе Инциденты

     Если вам известны дата и время регистрации инцидента, выберите соответствующий инцидент в разделе Инциденты. Вы можете изменить интервал времени, в котором отображаются инциденты, используя столбчатую диаграмму или поле выбора даты в верхней части страницы.

   • Переход из уведомления об инциденте, поступившего по электронной почте

     Если для вас было создано уведомление об инцидентах, при регистрации инцидента вы получите уведомление по электронной почте. Сообщение электронной почты содержит время начала инцидента, наиболее аномальный тег и ссылку для перехода в раздел История в веб-интерфейсе Kaspersky MLAD. Вы можете перейти по этой ссылке в раздел История в момент начала инцидента. В нижней части страницы раздела История нажмите на точку-индикатор в блоке ошибки MSE в соответствии с временем начала инцидента. Откроется раздел Инциденты, в котором отобразятся только те инциденты, которые были зарегистрированы в период, представленный выбранной точкой-индикатором (период указан над таблицей инцидентов).

   Когда вы нашли запись об интересующем инциденте, нажмите на значок стрелки вправо () для просмотра подробной информации об инциденте.

2. Просмотр информации о похожих инцидентах

   При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу. В таблице инцидентов в разделе Инциденты группа, к которой отнесен инцидент, отображается в столбце Группа. Если в этом столбце для выбранного инцидента ничего не указано, то Kaspersky MLAD к настоящему моменту не обнаружил для этого инцидента похожие.

   Для просмотра всех инцидентов группы выберите вкладку Группы и нажмите на значок стрелки вправо () рядом с нужной группой. В таблице отобразится информация об инцидентах, отнесенных к выбранной группе, а также экспертное заключение, если оно было добавлено. Ознакомьтесь с экспертными заключениями для отдельных инцидентов и для группы.

3. Исследование поведения объекта мониторинга в момент обнаружения инцидента

   Исследуйте поведение объекта мониторинга в момент обнаружения инцидента.

4. Анализ инцидента

   Проведите анализ инцидента, учитывая особенности регистрации инцидента в зависимости от типа детектора, который его зарегистрировал:

   • Forecaster. Основываясь на информации, полученной при просмотре автоматически сформированного пресета Tags for event #N, а также используя экспертное знание об объекте мониторинга, сформулируйте гипотезу о том, какие теги могли вызвать возникновение инцидента, и изучите их поведение, выбрав соответствующий пресет. Проанализируйте график ошибки MSE, переместитесь назад по времени от момента достижения порога MSE и изучите поведение тегов в момент начала роста значений ошибки MSE.
   • Rule Detector. Для каждого инцидента, зарегистрированного детектором Rule Detector автоматически формируется пресет Tags for event #N, в составе которого присутствует индикаторный тег, вызвавший регистрацию инцидента.
   • Limit Detector. Для каждого инцидента, зарегистрированного детектором Limit Detector автоматически формируется пресет Tags for event #N, в состав которого включается единственный тег-причина возникновения инцидента.
   • Stream Processor. Служба Stream Processor регистрирует инциденты до передачи данных телеметрии на обработку в ML-модель. Инциденты регистрируются в случае обнаружения потери данных или наблюдений, поступивших в Kaspersky MLAD слишком рано или поздно.
5. Добавление статуса, причины, экспертного заключения и замечания к инциденту или его группе

   Для каждого инцидента добавьте экспертное заключение или замечание, в которых вы можете указать, является ли инцидент аномалией. Экспертное заключение и замечание для инцидента отображаются только при просмотре определенного инцидента. Если требуется, вы можете указать статус и причину инцидента. Причина инцидента отображается в таблице инцидентов и при просмотре определенного инцидента. Вы также можете добавить или изменить статус и экспертное заключение для группы инцидентов.

Просмотр инцидентов

Чтобы просмотреть инциденты, зарегистрированные на конкретную дату:

1. В основном меню выберите раздел Инциденты.
2. В верхней части открывшейся страницы на столбчатой диаграмме нажмите на столбец диаграммы для нужной даты.
3. Если требуется, отфильтруйте инциденты по детектору, топ-тегу, статусу, группе или причине инцидентов, выбрав нужные значения в соответствующем раскрывающемся списке.

В таблице, расположенной в центральной области страницы, будут показаны инциденты, зарегистрированные в этот день в соответствии с заданными критериями фильтрации. При нажатии на кнопку Сбросить в таблице и на столбчатой диаграмме будут показаны все зарегистрированные инциденты.

Для каждого инцидента, представленного в таблице, отображается следующая информация:

• ID – идентификатор зарегистрированного инцидента.
• Дата и время – дата и время регистрации инцидента.

  Нажав на значение даты регистрации инцидента, вы перейдете в раздел История, где вы можете посмотреть информацию о пресете Tags for event #N, сформированного для зарегистрированного инцидента.

• Имя топ-тега – название параметра технологического процесса, для которого зафиксировано наибольшее отклонение от прогноза на момент регистрации инцидента.
• Причина инцидента – причина зарегистрированного инцидента, добавленная экспертом (технологом или специалистом АСУ ТП) по результатам анализа инцидента.
• Детектор – название детектора, который определил аномалию и зарегистрировал инцидент: Forecaster, Limit Detector, XGBoost, Rule Detector, Stream Processor.
• Группа – название группы инцидентов, в которую входит зарегистрированный инцидент.

  Если обнаружены два или более похожих инцидента, то они объединяются в группу, которая создается автоматически с помощью компонента Similar Anomaly. Вы можете просмотреть только те инциденты, которые входят в группу, выбрав название группы в раскрывающемся списке.

• Статус – статус зарегистрированного инцидента, указанный экспертом (технологом или специалистом АСУ ТП) по результатам анализа инцидента.

  Вы можете установить статус инцидента по результатам анализа инцидента, выбрав нужное значение в раскрывающемся списке. По умолчанию при установке Kaspersky MLAD доступны следующие статусы инцидентов и групп инцидентов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать и Ложное срабатывание. Если требуется, пользователь с правами администратора может создать, изменить или удалить статусы инцидентов.

Просмотр технических характеристик зарегистрированного инцидента

Развернуть все | Свернуть все

В разделе Инциденты вы можете просмотреть технические характеристики зарегистрированных инцидентов. Для этого нажмите на значок стрелки вправо () около нужного инцидента в таблице инцидентов. Для выбранного инцидента отобразятся следующие технические характеристики:

• Инцидент – блок, содержащий информацию об инциденте.
  • Имя модели – название используемой ML-модели.
  • Ветка модели – название ветки ML-модели. Отсутствует, если у ML-модели отсутствуют ветки.
  • Детектор – название детектора, который определил аномалию и зарегистрировал инцидент: Forecaster, Limit Detector, XGBoost, Rule Detector, Stream Processor.
  • Значение MSE – значение индивидуальной ошибки MSE.
  • Пороговое значение – пороговое значение MSE для используемой ветки ML-модели на момент регистрации инцидента.

• Топ-тег – блок, содержащий информацию о теге, для которого зарегистрирован инцидент.
  • Имя топ-тега (ID топ-тега) – название и идентификатор тега, поведение которого привело к регистрации инцидента.

    Если инцидент зафиксирован детектором Forecaster, отображается название наиболее аномального тега, который больше остальных повлиял на регистрацию инцидента. Для детектора Rule Detector в значении этого параметра отображается индикаторный тег диагностического правила. Для детектора Limit Detector отображается тег, значение которого вышло за установленные для этого тега технические пределы.

  • Значение топ-тега – зарегистрированное в момент инцидента значение топ-тега.
  • Пределы – допустимые технические пределы значений для топ-тега.
  • Описание – описание топ-тега.
  • Единицы измерения – единицы измерения значений топ-тега.

• Параметры инцидента службы Stream Processor – блок, содержащий информацию о параметрах инцидента, зарегистрированного службой Stream Processor. Этот блок параметров отображается, только если текущий инцидент был зарегистрирован службой Stream Processor.
  • Тип инцидента – тип инцидента, зарегистрированного службой Stream Processor. Служба Stream Processor регистрирует инциденты в случае обнаружения наблюдений, поступивших в Kaspersky MLAD слишком рано или поздно, а также в случае прекращения или прерывания входного потока данных определенного тега.
  • Дата и время данных – дата и время формирования наблюдения по часам объекта мониторинга. Этот параметр отображается только для типов инцидентов Позднее поступление наблюдения и Сбой часов.
  • Отставание / Опережение – количество времени, на которое время формирования наблюдения отстает от времени поступления этого наблюдения в Kaspersky MLAD или опережает его. При поступлении данных слишком рано значение параметра отображается со знаком плюс (+). При поступлении данных в программу поздно значение параметра отображается со знаком минус (-). Этот параметр отображается только для типов инцидентов Позднее поступление наблюдения и Сбой часов.
• Причина инцидента – поле для выбора причины инцидента. Это поле заполняет эксперт (технолог или специалист АСУ ТП). Если требуется, пользователь с правами администратора может создать, изменить или удалить причины инцидентов.
• Экспертное заключение – поле для ввода экспертного заключения по анализу зарегистрированного инцидента. Это поле заполняет эксперт (технолог или специалист АСУ ТП).
• Замечание – поле для ввода комментария для выбранного инцидента. Если требуется, вы можете указать комментарий для инцидента.

Просмотр групп инцидентов

При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу (с помощью компонента Similar Anomaly). Это позволяет анализировать инциденты с учетом предыстории, а также использовать экспертные заключения, сделанные для аналогичных инцидентов. В таблице инцидентов в разделе Инциденты группа, к которой отнесен инцидент, отображается в столбце Группа. Если в этом столбце для инцидента ничего не указано, то Kaspersky MLAD к настоящему моменту не обнаружил для этого инцидента похожие. Инциденты могут быть перегруппированы, и при этом экспертные заключения, добавленные к этим инцидентам, мигрируют в новую группу. Имя группы присваивается автоматически – Group #N (N – порядковый номер группы). При необходимости вы можете изменить имя группы.

Чтобы просмотреть группы инцидентов,

в основном меню выберите раздел Инциденты и нажмите на Группы.

В таблице, расположенной в центральной части страницы, будут показаны все группы инцидентов для вашего объекта мониторинга.

Для каждой группы инцидентов в таблице, отображается следующая информация:

• ID – идентификатор группы инцидентов.
• Имя группы – название группы инцидентов.
• Экспертное заключение – заключение по анализу группы зарегистрированных инцидентов, добавленное экспертом (технологом или специалистом АСУ ТП).
• Количество инцидентов – количество зарегистрированных инцидентов, которые входят в группу.

  Вы можете перейти к просмотру инцидентов группы, нажав на Количество инцидентов.

• Дата и время – дата и время создания группы инцидентов.
• Статус – статус зарегистрированных инцидентов в группе, указанный экспертом (технологом или специалистом АСУ ТП) по результатам анализа инцидентов.

  Вы можете установить статус группы инцидентов по результатам их анализа, выбрав нужное значение в раскрывающемся списке. По умолчанию при установке Kaspersky MLAD доступны следующие статусы инцидентов и групп инцидентов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать и Ложное срабатывание. Если требуется, пользователь с правами администратора может создать, изменить или удалить статусы инцидентов.

Чтобы просмотреть подробную информацию о группе инцидентов:

1. Нажмите на значок стрелки вправо () около группы инцидентов.

   Отобразится список инцидентов, входящих в эту группу. Для каждого инцидента группы отображаются следующие технические характеристики:

   • Дата инцидента – дата и время регистрации инцидента.

     Вы можете перейти в раздел История, нажав на значение даты регистрации инцидента.

   • Имя топ-тега – название параметра технологического процесса, который оказал наибольшее влияние при возникновении инцидента.
   • Значение топ-тега – зарегистрированное значение тега, оказавшего наибольшее влияние при возникновении инцидента.
   • Релевантные теги – таблица, которая содержит идентификаторы тегов, оказавших влияние на определение похожих инцидентов и объединение таких инцидентов в группу.
2. Если требуется просмотреть степень влияния тега на формирование похожих инцидентов, нажмите на ячейку таблицы Релевантные теги, в которой содержится идентификатор нужного тега.

   Все ячейки таблицы, содержащие выбранный идентификатор тега, будут выделены зеленым цветом. Чем ближе к первому столбцу таблицы находятся выделенные зеленым цветом ячейки, содержащие идентификатор выбранного тега, тем большее влияние этот тег оказал на определение похожих инцидентов и объединение их в группу.

Также вы можете добавить статус и экспертное заключение для группы инцидентов.

Исследование поведения объекта мониторинга в момент обнаружения инцидента

В этом разделе приводится последовательность действий, которые требуется выполнить для исследования поведения объекта мониторинга в момент обнаружения инцидента.

Исследование поведения объекта мониторинга состоит из следующих этапов:

1. Просмотр истории полученных тегов для объекта мониторинга в разделе История

   Вы можете перейти к просмотру информации об инциденте одним из следующих способов:

   • Если вы хотите просмотреть недавно обнаруженный инцидент, в разделе Информационная панель нажмите на дату и время интересующего вас инцидента в таблице Последние инциденты.
   • В разделе Инциденты нажмите на дату и время интересующего вас инцидента в таблице инцидентов.
   • Если для вас было создано уведомление об инцидентах, вы можете перейти к инциденту по ссылке из уведомления электронной почты. Сообщение электронной почты содержит время начала инцидента, наиболее аномальный тег и ссылку для перехода в раздел История в веб-интерфейсе Kaspersky MLAD.

   В разделе История Kaspersky MLAD отображает график тегов, полученных от объекта мониторинга, для которого зарегистрирован выбранный инцидент. На графике отображаются данные по пресету Tags for event #N (где N – идентификатор инцидента в разделе Инциденты), сформированному по дате и времени регистрации выбранного инцидента. В этот пресет входят теги, которые привели к регистрации инцидента. В зависимости от типа детектора, который зарегистрировал инцидент, это могут быть следующие теги:

   • Теги, фактическое значение которых было признано ML-моделью наиболее аномальным, если инцидент был зарегистрирован детектором Forecaster.
   • Индикаторный тег сработавшего диагностического правила и теги, входящие в это правило, если инцидент был зарегистрирован детектором Rule Detector.
   • Тег, значение которого вышло за пределы допустимого диапазона значений, если инцидент был зарегистрирован детектором Limit Detector.

   Если требуется, вы можете выбрать другой пресет для отображения данных, полученных от объекта мониторинга в момент регистрации инцидента. На дату и время регистрации инцидента на графике указывает вертикальная синяя пунктирная линия.

   Пример графика тегов в разделе История.

   График тегов отображается в верхней части раздела История. В нижней части раздела История отображается график MSE.

   

   График тегов в разделе История

2. Настройка параметров отображения данных на графике в разделе История

   В разделе История вы можете включить отображение предсказанных значений тегов. Это позволяет оценить расхождение между фактическими и предсказанными значениями тегов. Также включенная функция отображения предсказанных значений позволяет просматривать значения индикаторных тегов, отображающих результаты применения диагностических правил. Информация о теге (имя, числовой идентификатор, описание, единица измерения, время и значение тега) отображается при наведении указателя мыши на график тега. Также вы можете включить отображение имени и описания тега для каждого графика тега.

3. Настройка параметров времени для отображения данных в разделе История

   При исследовании поведения тегов, вы можете изменять масштаб оси времени или перемещаться по графикам вперед или назад по времени. При отображении более коротких интервалов времени на графиках тегов в разделе История могут проявляться детали поведения тегов, которые усреднялись, когда график тега отображался за более длительный период.

4. Изменение вертикальных границ отображения данных в разделе История

   Выбор вертикального масштаба каждого графика по умолчанию производится автоматически, исходя из минимального и максимального значений тега в отображаемой области. Вы можете контролировать масштаб графиков по шкале значений на вертикальной оси одним из следующих способов:

   • Если для тега установлены минимальное и максимальное допустимые значения (технические пределы), включите функцию Всегда показывать технические пределы.

     При условии, что значения тега находятся в допустимом диапазоне, вертикальный масштаб графика будет зафиксирован предельными линиями, выводимыми по нижней и верхней границам графика тега. Если значения тега выйдут за допустимые пределы, то вертикальный масштаб будет автоматически изменен для отображения запредельных значений тега.

   • В свойствах тега установите допустимые границы отображения значений тега на графиках.

     Если значения тега будут выходить за указанные границы, то они не будут отображаться на графике тега. Допустимые границы отображения значений тега имеют приоритет над отображением технических пределов, даже если включена функция Всегда показывать технические пределы.

Добавление статуса, причины, экспертного заключения и замечания к инциденту или группе инцидентов

Kaspersky MLAD позволяет добавлять экспертное заключение или замечание к зарегистрированному инциденту.

Экспертное заключение, как правило, добавляет эксперт (технолог или специалист АСУ ТП), и оно может содержать анализ инцидента или рекомендации по устранению проблемы, на которую указывает выявленный инцидент. Экспертное заключение может быть добавлено как к инциденту, так и к группе инцидентов. При этом если сгруппированы инциденты, к которым ранее были добавлены экспертные заключения, то эти заключения отображаются и в группе (с привязкой к каждому конкретному инциденту). При перегруппировке инцидентов экспертное заключение для инцидента мигрирует вместе с инцидентом в новую группу.

Замечания предназначены для обсуждения между экспертами или операторами предпринятых по инциденту действий: анализ, расследование, исправление. В каждом замечании фиксируется информация о том, кто и когда его добавил.

Вы также можете добавить причину возникновения инцидента и статус инцидента, установленные экспертом по результатом анализа инцидента. Статус инцидента может быть присвоен как инциденту, так и группе инцидентов. При изменении статуса группы инцидентов Kaspersky MLAD изменяет статус инцидентов, входящих в эту группу.

Перед добавлением причины, статуса, замечания или экспертного заключения требуется провести анализ зарегистрированного инцидента.

Чтобы добавить экспертное заключение, статус, причину и замечание к инциденту:

1. В основном меню выберите раздел Инциденты.
2. При необходимости измените статус инцидента, выбрав в раскрывающемся списке Статус один из следующих статусов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать или Ложное срабатывание.

   По умолчанию инциденту присваивается статус Не установлен. Если требуется, пользователь с правами администратора может создать, изменить или удалить статусы инцидентов.

3. Для отображения подробных технических характеристик нажмите на значок стрелки вправо () около интересующего вас инцидента. В открывшейся области деталей вы можете выполнить следующие действия:
   • Если требуется добавить причину инцидента, в поле Причина инцидента выберите причину инцидента.

     При необходимости пользователь с правами администратора может создать, изменить или удалить причины инцидентов.

   • Если требуется добавить экспертное заключение по анализу зарегистрированного инцидента, нажмите на значок Изменить экспертное заключение (), расположенную справа от поля Экспертное заключение, в появившемся поле введите заключение и нажмите на клавишу ENTER.

     Экспертное заключение будет добавлено к выбранному инциденту и отобразится в таблице инцидентов разделе Инциденты.

   • Если требуется добавить замечание к инциденту, в поле Замечание введите сообщение и нажмите на кнопку Добавить замечание.

     Вы можете указать сообщение длиной не более 512 символов.

Статус, причина, экспертное заключение и замечание будут добавлены к инциденту и будут доступны другим пользователям при просмотре этого инцидента.

При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу. Имя группы присваивается также автоматически – Group #N (N – порядковый номер группы). Вы можете изменить название группы, а также изменить статус группы инцидентов и экспертное заключение, содержащее, например, рекомендации при анализе похожих инцидентов.

Чтобы добавить статус и экспертное заключение к группе инцидентов:

1. В основном меню выберите раздел Инциденты и нажмите на Группы.
2. При необходимости измените статус группы инцидентов, выбрав в раскрывающемся списке Статус один из следующих статусов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать или Ложное срабатывание.

   При изменении статуса группы инцидентов Kaspersky MLAD изменяет статус инцидентов, входящих в эту группу. По умолчанию группе инцидентов присваивается статус Не установлен.

   Если требуется, пользователь с правами администратора может создать, изменить или удалить статусы инцидентов.

3. В таблице групп инцидентов дважды нажмите на строку группы инцидентов.

   Откроется окно Изменение группы.

   Вы также можете перейти к изменению группы на вкладке Инциденты. Для этого выберите нужную группу в фильтре Группа и в блоке экспертного заключения для группы, отображающемся над таблицей инцидентов, нажмите на кнопку Изменить.

4. Если требуется изменить название группы инцидентов, в поле Имя группы введите новое название группы.
5. В поле Экспертное заключение введите текст экспертного заключения (например, рекомендации при анализе похожих инцидентов).
6. Нажмите на кнопку Сохранить.

Статус и экспертное заключение будут изменены для группы инцидентов и будут доступны для просмотра другим пользователям в таблице Группы в разделе Инциденты.

Экспорт инцидентов в файл

Вы можете сохранить в файл формата XLSX инциденты, зарегистрированные за определенный период в Kaspersky MLAD.

Чтобы сохранить в файл зарегистрированные за определенный период инциденты:

1. В основном меню выберите раздел Инциденты.
2. В верхней части открывшейся страницы выберите даты начала и окончания периода.
3. Нажмите на кнопку Экспорт.
4. Выберите папку для сохранения на локальном диске и сохраните файл.

Инциденты, зарегистрированные за выбранный период в Kaspersky MLAD, будут сохранены на локальном диске в файл формата XLSX. Файл формата XLSX можно открыть в программе Microsoft Excel.