Просмотр групп инцидентов
При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу (с помощью службы Similar Anomaly). Это позволяет анализировать инциденты с учетом предыстории, а также использовать экспертные заключения, сделанные для аналогичных инцидентов. В таблице инцидентов в разделе Инциденты группа, к которой отнесен инцидент, отображается в столбце Группа инцидентов. Если в этом столбце для инцидента ничего не указано, то Kaspersky MLAD к настоящему моменту не обнаружил для этого инцидента похожие. Инциденты могут быть перегруппированы, и при этом экспертные заключения, добавленные к этим инцидентам, мигрируют в новую группу. Название группы присваивается автоматически – Group #N (N – порядковый номер группы). При необходимости вы можете изменить название группы.
Функциональность доступна после добавления лицензионного ключа.
Чтобы просмотреть группы инцидентов,
в основном меню выберите раздел Инциденты и выберите вкладку Группы.
В таблице, расположенной в центральной части страницы, будут показаны все группы инцидентов для вашего объекта мониторинга.
Для каждой группы инцидентов в таблице, отображается следующая информация:
- ID – идентификатор группы инцидентов.
- Название группы – название группы инцидентов.
- Экспертное заключение – заключение по анализу группы зарегистрированных инцидентов, добавленное экспертом (технологом или специалистом АСУ ТП).
- Количество инцидентов – количество зарегистрированных инцидентов, которые входят в группу.
Вы можете перейти к просмотру инцидентов группы, нажав на количество инцидентов нужной группы.
- Дата и время – дата и время создания группы инцидентов.
- Статус – статус зарегистрированных инцидентов в группе, указанный экспертом (технологом или специалистом АСУ ТП) по результатам анализа инцидентов или присвоенный инцидентам автоматически в соответствии со статусом инцидентов, заданным для элементов ML-моделей, зарегистрировавших инциденты.
Вы можете установить статус группы инцидентов по результатам их анализа, выбрав нужное значение в раскрывающемся списке. По умолчанию при установке Kaspersky MLAD доступны следующие статусы инцидентов и групп инцидентов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать и Ложное срабатывание. Если требуется, системный администратор может создать, изменить или удалить статусы инцидентов.
Чтобы просмотреть подробную информацию о группе инцидентов:
- Нажмите на кнопку
около группы инцидентов.Отобразится список инцидентов, входящих в эту группу. Для каждого инцидента группы отображаются следующие технические характеристики:
- Дата инцидента – дата и время регистрации инцидента.
Вы можете перейти в раздел История, нажав на значение даты регистрации инцидента.
- Имя топ-тега – имя тега, который оказал наибольшее влияние на регистрацию инцидента.
- Значение топ-тега – значение тега, оказавшего наибольшее влияние на регистрацию инцидента.
- Релевантные теги – таблица, которая содержит идентификаторы тегов, оказавших влияние на определение похожих инцидентов и объединение таких инцидентов в группу.
- Дата инцидента – дата и время регистрации инцидента.
- Если требуется просмотреть степень влияния тега на формирование похожих инцидентов, нажмите на ячейку таблицы Релевантные теги, в которой содержится идентификатор нужного тега.
Все ячейки таблицы, содержащие выбранный идентификатор тега, будут выделены зеленым цветом. Чем ближе к первому столбцу таблицы находятся выделенные зеленым цветом ячейки, содержащие идентификатор выбранного тега, тем большее влияние этот тег оказал на определение похожих инцидентов и объединение их в группу.
Также вы можете добавить статус и экспертное заключение для группы инцидентов.