Просмотр деталей алерта

Развернуть все | Свернуть все

Сведения о обнаружении – это страница в интерфейсе, которая содержит всю информацию, относящуюся к обнаружению, включая свойства обнаружения.

Чтобы просмотреть детали алерта:

1. В главном окне программы перейдите в раздел Мониторинг и отчеты → Алерты.
2. Если в Kaspersky Security Center Cloud Console интегрированы и Kaspersky EDR Optimum, и Kaspersky SMP, то раздел Алерты разделен на две вкладки. Выберите вкладку Expert. В противном случае пропустите этот шаг.
3. В таблице алертов нажмите на идентификатор требуемого алерта.

Отображаются детали алерта.

Панель инструментов в верхней части деталей алерта позволяет выполнять следующие действия:

• Изменять значение поля Внешняя ссылка
• Назначить алерт аналитику
• Изменить статус алерта
• Связать алерт с инцидентом
• Отменить связь алерта с инцидентом
• Выбрать плейбук
• Создать инцидент и привязать к нему алерт

Детали алерта состоят из следующих разделов:

• Сводная информация.

  Раздел сводной информации содержит следующие свойства алерта:

  • Аналитик. Аналитик, которому назначен алерт.
  • Тенант. Имя тенанта, в котором зарегистрирован алерт.
  • Активы. Количество учетных записей пользователей и устройств, связанных с алертом.
  • Критичность. Возможные значения: Низкий, Средний, Высокий или Критичный. Уровень критичности алерта показывает, какое влияние этот алерт может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского".
  • Правила. Правила, которые сработали для регистрации алерта. Вы можете нажать на значок с многоточием рядом с названием правила, чтобы открыть контекстное меню. Используйте это меню, чтобы узнать больше о правиле, найти алерты или инциденты, которые были зарегистрированы тем же правилом, или выполнить поиск событий, инициирующих правило, в разделе Поиск угроз за последние 24 часа.
  • Зарегистрировано. Дата и время, когда алерт был добавлен в таблицу алертов.
  • Первое событие. Дата и время первого события, связанного с алертом.
  • Последнее событие. Дата и время последнего события, связанного с алертом.
  • Внешняя ссылка. Ссылка на объект во внешней системе (например, ссылка на инцидент Jira). Вы можете нажать на кнопку Изменить, чтобы указать внешнюю ссылку.
  • Связанный с. Инцидент, к которому привязан алерт.
  • Технологии. Технология, зарегистрировавшая алерт.
  • Тактика MITRE. Тактика или несколько тактик, зарегистрированных в алерте. Тактика определена в базе знаний MITRE ATT&CK.
  • Техника MITRE. Техника или несколько техник, зарегистрированных в алерте. Методы определены в базе знаний MITRE ATT&CK.
• Подробная информация.

  В разделе Подробнее вы можете отслеживать события телеметрии, связанные с алертом.

  В таблице событий отображается результат поиска, который вы определяете с помощью SQL-запроса.

  Панель инструментов таблицы событий позволяет выполнить следующие действия:

  • Скачать события. Нажмите на эту кнопку, чтобы загрузить информацию о связанных событиях в файл CSV (в кодировке UTF-8).
  • Поиск в разделе Поиск угроз. Нажмите на эту кнопку, чтобы открыть раздел Поиск угроз. Этот раздел позволяет выполнять поиск по всем событиям, связанным с тенантами, к которым у вас есть доступ, а не только по событиям, связанным с текущим алертом. По умолчанию открытая таблица событий содержит все события, произошедшие в период между первым и последним событием в алерте. Например, вы можете запустить поисковый запрос, чтобы найти все события, в которых было задействовано устройство.

    В разделе Поиск угроз вы можете вручную связать события с алертами. Это может быть полезно, если вы выясните, что некоторые события относятся к алерту, но не были связаны с алертом автоматически. Дополнительные сведения см. в инструкциях по связыванию или удалению связи событий с алертами.

  • Удалить связь с алертом. Выберите событие или несколько событий в таблице и нажмите на эту кнопку, чтобы удалить связь выбранных событий с алертом.

• Активы

  В разделе Активы можно просмотреть устройства и пользователей, затронутых алертом или участвующих в нем.

  Таблица активов содержит следующие столбцы:

  • Тип актива

    Возможные значения: устройство или пользователь.

  • Имя актива
  • Идентификатор актива
  • Имеет признаки

    Возможные значения: атакующий или атакуемый.

  • Статус авторизации

    Этот параметр применяется только к типу актива – устройство. Статус авторизации устройства определяется KICS for Networks. Вы можете изменить статус авторизации, применив соответствующее действие по реагированию к устройству.

  • Сервер администрирования

    Сервер администрирования, который управляет устройством.

  • Группа администрирования

    Группа администрирования, к которой принадлежит пользователь.

  • Категории

    Категории активов, в которые входит актив.

  Нажав на имя пользователя или устройства, вы можете:

  • Выполнить поиск по имени пользователя или идентификатору устройства в разделе Поиск угроз за последние 24 часа.
  • Выполнить поиск по имени пользователя или идентификатору устройства в других алертах.
  • Выполнить поиск по имени пользователя или идентификатору устройства в других инцидентах.
  • Скопировать имя пользователя или имя устройства в буфер обмена.

  Вы также можете нажать на имя устройства, чтобы открыть свойства устройства.

  Нажав на идентификатор пользователя или идентификатор устройства, вы можете:

  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в разделе Поиск угроз за последние 24 часа.
  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в других алертах.
  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в других инцидентах.
  • Скопировать идентификатор пользователя или идентификатор устройства в буфер обмена.

  Вы также можете нажать на идентификатор устройства, чтобы открыть его свойства.

• Наблюдаемые объекты

  В разделе Наблюдаемые объекты вы можете просмотреть наблюдаемые объекты, связанные с алертом. Наблюдаемые объекты могут включать:

  • MD5-хеш
  • IP-адрес
  • URL
  • Имя домена
  • SHA256
  • UserName
  • HostName

  Нажав на ссылку в столбце Значение, вы можете:

  • Найти значение наблюдаемого объекта в разделе Поиск угроз за последние 24 часа.
  • Выполнить поиск по значению наблюдаемого объекта в других алертах.
  • Выполнить поиск по значению наблюдаемого объекта в других инцидентах.
  • Скопировать значение наблюдаемого объекта в буфер обмена.

  Панель инструментов этого раздела содержит следующие кнопки:

  • Запросить статусы Kaspersky TIP. Используйте эту кнопку, чтобы получить подробную информацию о выбранном наблюдаемом объекте в Kaspersky Threat Intelligence Portal (Kaspersky TIP). В результате информация обновляется в столбце Статус обновления. Требуется интеграция с Kaspersky Threat Intelligence Portal (премиум-доступ).
  • Обогатить данные Kaspersky TIP. Используйте эту кнопку, чтобы получить подробную информацию обо всех перечисленных наблюдаемых объектах из Kaspersky TIP. В результате информация обновляется в столбце Обогащение. Используйте ссылку в столбце Обогащение, чтобы открыть полученные сведения об обогащении наблюдаемого объекта. Требуется интеграция с Kaspersky Threat Intelligence Portal (премиум-доступ).
  • Поместить на карантин. Используйте эту кнопку, чтобы переместить устройство, на котором находится файл, на карантин. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Добавить правило запрета. Используйте эту кнопку, чтобы добавить правило, запрещающее запуск файла. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Удалить правило запрета. Используйте эту кнопку, чтобы удалить правило, запрещающее запуск файла. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Прервать процесс. Используйте эту кнопку, чтобы прервать процессы, связанные с файлом. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
• Похожие закрытые алерты

  В разделе Похожие закрытые алерты вы можете просмотреть список закрытых алертов, которые имеют те же затронутые артефакты, что и текущий алерт. Затронутые артефакты включают наблюдаемые объекты и затронутые устройства. Похожие закрытые алерты могут помочь вам изучить текущий алерт.

  С помощью списка вы можете оценить степень сходства текущего алерта и других алертов. Сходство рассчитывается следующим образом:

  Сходство = M / T * 100

  Здесь "M" – количество артефактов, совпадающих в текущем и аналогичном алерте, "T" – общее количество артефактов в текущем алерте.

  Если сходство составляет 100%, в текущем алерте нет ничего нового по сравнению с аналогичным алертом. Если сходство равно 0%, текущий и аналогичный алерт полностью различаются. Алерты, имеющие сходство 0%, не включаются в список.

  Расчетное значение округляется до ближайшего целого числа. Если сходство равно значению от 0% до 1%, программа не округляет это значение до 0%. В этом случае значение отображается меньше 1%.

  При нажатии на идентификатор алерта открываются детали алерта.

  Настройка списка похожих закрытых алертов

  Вы можете настроить таблицу, используя следующие параметры:

  • Отфильтруйте алерты, выбрав период, за который были обновлены алерты. По умолчанию список содержит алерты, которые обновлялись за последние 30 дней.
  • Нажмите на значок Параметры столбцов () и выберите, какие столбцы отображать и в каком порядке.
  • Нажмите на значок Фильтр (), выберите и настройте фильтры, которые хотите применить. Если вы выбрали несколько фильтров, они применяются одновременно с помощью логического оператора И.
  • Нажмите на заголовок столбца и выберите параметры сортировки. Вы можете отсортировать алерты в порядке возрастания или убывания.

• Подобные инциденты

  В разделе Подобные инциденты вы можете просмотреть список инцидентов, которые имеют те же затронутые артефакты, что и текущий алерт. Затронутые артефакты включают наблюдаемые объекты и затронутые устройства. Подобные инциденты могут помочь вам решить, может ли текущий алерт быть связан с существующим инцидентом.

  С помощью списка вы можете оценить степень сходства текущего алерта и инцидентов. Сходство рассчитывается следующим образом:

  Сходство = M / T * 100

  Здесь "M" – количество артефактов, совпадающих в текущем и аналогичном инциденте, "T" – общее количество артефактов в текущем алерте.

  Если сходство составляет 100%, в текущем алерте нет ничего нового по сравнению с аналогичным инцидентом. Если сходство равно 0%, текущий алерт и схожий инцидент полностью различаются. Инциденты, имеющие сходство 0%, не включаются в список.

  Расчетное значение округляется до ближайшего целого числа. Если сходство равно значению от 0% до 1%, программа не округляет это значение до 0%. В этом случае значение отображается меньше 1%.

  При нажатии на идентификатор инцидента открывается подробная информация об инциденте.

  Настройка списка похожих инцидентов

  Вы можете настроить таблицу, используя следующие параметры:

  • Отфильтруйте инциденты, выбрав период, за который были обновлены инциденты. По умолчанию список содержит инциденты, которые обновлялись за последние 30 дней.
  • Нажмите на значок Параметры столбцов () и выберите, какие столбцы отображать и в каком порядке.
  • Нажмите на значок Фильтр (), выберите и настройте фильтры, которые хотите применить. Если вы выбрали несколько фильтров, они применяются одновременно с помощью логического оператора И.
  • Нажмите на заголовок столбца и выберите параметры сортировки. Вы можете отсортировать инциденты в порядке возрастания или убывания.
• Комментарии

  В разделе Комментарии вы можете оставлять комментарии, связанные с алертом. Например, вы можете написать комментарий о результатах расследования или при изменении свойств алерта, таких как исполнитель или статус алерта.

  Вы можете изменять или удалять свои комментарии. Комментарии других пользователей невозможно изменить или удалить.

  Чтобы сохранить комментарий, нажмите на клавишу Enter. Чтобы начать новую строку, нажмите на клавиши Shift + Enter. Чтобы изменить или удалить свой комментарий, используйте кнопки в правом верхнем углу.

  Для возможности оставлять комментарии требуется право на Запись в функциональной области Алерты и инциденты.

• История

  В разделе Журнал событий алертов вы можете отслеживать изменения, внесенные в алерт как в объект:

  • Изменение статуса алерта.
  • Изменение исполнителя алерта.
  • Связь алерта с инцидентом.
  • Удаление связи между алертом и инцидентом.

  В разделе История реагирований вы можете просмотреть действия по реагированию, выполненные вручную, а также действия, выполненные в рамках плейбука. Таблица содержит следующие столбцы:

  • Время. Время возникновения события.
  • Запущено. Имя пользователя, запустившего действие по реагированию.
  • События. Описание события.
  • Параметры реагирования. Параметры действия по реагированию, указанные в действии по реагированию.
  • Актив. Количество активов, для которых было запущено действие по реагированию. Вы можете перейти по ссылке с номером актива, чтобы просмотреть подробную информацию об активе.
  • Статус действия. Статус выполнения действия по реагированию. В этом столбце могут отображаться следующие значения:
    • Ожидание подтверждения – действие по реагированию ожидает подтверждения для запуска.
    • В обработке – выполняется действие по реагированию.
    • Успешно – действие по реагированию завершено без ошибок или предупреждений.
    • Предупреждение – действие по реагированию завершено с предупреждениями.
    • Ошибка – действие по реагированию завершено с ошибками.
    • Прервано – действие по реагированию завершено, так как пользователь прервал выполнение.
    • Подтвердить время ожидания – действие по реагированию завершено, так как время подтверждения для запуска истекло.
    • Отклонено – действие по реагированию завершено, так как пользователь отклонил запуск.
  • Плейбук. Имя плейбука, в котором было запущено действие по реагированию. Вы можете перейти по ссылке, чтобы просмотреть подробную информацию о плейбуке.
  • Действие по реагированию. Имя выполненного действия по реагированию.
  • Тип актива. Тип актива, для которого запускается действие по реагированию. Возможные значения: Устройство или Пользователь.
  • Активы тенанта. Тенант, являющийся владельцем актива, для которого было запущено действие по реагированию.

См. также: Об алертах Назначение алертов аналитикам Изменение статуса алерта Связь алертов с инцидентами

В начало