Об инцидентах

Развернуть все | Свернуть все

Инцидент – это контейнер обнаружений, который обычно указывает на проблему в ИТ-инфраструктуре организации. Инцидент может содержать один или несколько алертов. Используя инциденты, аналитики могут исследовать несколько алертов как одну проблему.

Вы можете создавать инциденты вручную или включить правила автоматического создания инцидентов. После создания инцидента вы можете связать алерты с ним. Вы можете связать с инцидентом до 200 алертов.

После создания инцидентов Kaspersky SMP добавляет их в таблицу инцидентов как объекты, которые должны быть обработаны аналитиками.

Инциденты можно назначить только аналитикам, имеющим право на чтение и изменение алертов и инцидентов.

Вы можете управлять инцидентами как объектами, используя следующие свойства инцидента:

• Статус инцидента.

  Статус инцидента показывает текущее состояние инцидента в его жизненном цикле. Вы можете изменить статус по своему усмотрению.

  Поддерживаются две модели статусов инцидентов. Подробности см. в разделе: Изменение статуса инцидента.

• Уровень важности инцидента.

  Возможные значения: Низкий, Средний, Высокий или Критичный.

  Уровень важности инцидента показывает, какое влияние этот инцидент может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского". Уровень критичности инцидента соответствует наивысшей степени критичности связанных алертов и не может быть изменена вручную.

• Приоритет инцидента.

  Возможные значения: Низкий, Средний, Высокий или Критичный.

  Приоритет инцидентов определяет порядок, в котором инциденты должны расследоваться аналитиками. Инциденты с приоритетом Критический являются наиболее важными и должны быть расследованы в первую очередь. Вы можете изменить приоритет инцидента вручную.

• Исполнитель инцидента.

  Владелец инцидента, аналитик, который отвечает за расследование и обработку инцидента. Вы можете изменить исполнителя инцидента в любое время, если параметр Статус не равен Закрыт.

Два или более инцидента могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае вы можете объединить инциденты, чтобы исследовать их как единую проблему.

У каждого инцидента есть детали инцидента, которые предоставляют всю информацию, связанную с инцидентом. Вы можете использовать эту информацию для расследования инцидента или объединения инцидентов.

См. также: Создание инцидентов Просмотр таблицы инцидентов Назначение инцидентов аналитикам Изменение статуса инцидента Изменение приоритета инцидента Объединение инцидентов Об алертах Связь алертов с инцидентами Удаление связи алертов с инцидентами

В начало