Веб-виджеты обнаружения и реагирования

На вкладке Обнаружение и реагирование вы можете добавлять, настраивать и удалять веб-виджеты.

Набор веб-виджетов, используемых на вкладке Обнаружение и реагирование, называется макетом. Все веб-виджеты должны быть размещены на макетах. Open Single Management Platform позволяет создавать, изменять и удалять макеты. Также доступны преднастроенные макеты панели мониторинга. При необходимости вы можете изменять параметры веб-виджета в предварительно настроенных макетах. По умолчанию на вкладке Обнаружение и реагирование выбран макет Обзор алертов.

Веб-виджет отображает данные за период, выбранный в параметрах веб-виджета или макета, только для тенантов, указанных в параметрах веб-виджета или макета.

Перейдя по ссылке с названием веб-виджета о событиях, алертах, инцидентах или активных листах, вы можете перейти в соответствующий раздел интерфейса Open Single Management Platform. Обратите внимание, что этот параметр недоступен для некоторых веб-виджетов.

На вкладке Обнаружение и реагирование в панели мониторинга доступны следующие категории веб-виджетов и веб-виджеты:

• События. Веб-виджет для создания аналитики на основе событий.
• Активные листы. Веб-виджет для создания аналитики на основе активных листов корреляторов.
• Алерты. Группа для аналитиков, которые работают с алертами. Включает информацию об алертах и инцидентах, предоставляемую Open Single Management Platform.

  В группу входят следующие веб-виджеты:

  • Активные алерты. Количество незакрытых алертов.
  • Активные алерты по тенантам. Количество незакрытых алертов, сгруппированных по тенантам.
  • Алерты по тенантам. Количество алертов всех статусов, сгруппированных по тенантам.
  • Неназначенные алерты. Количество алертов, у которых нет исполнителя.
  • Алерты по статусу. Количество алертов со статусами Новый, Открыт, Назначен или Эскалирован. Сгруппированы по статусу.
  • Последние алерты. Таблица с информацией о последних 10 незакрытых алертах, принадлежащих выбранным в макете тенантам.
  • Распределение алертов. Количество алертов, созданных в течение указанного для веб-виджета периода.
  • Алерты по исполнителю. Количество алертов со статусом Назначен. Сгруппированы по имени учетной записи.
  • Алертов по уровню важности. Количество незавершенных алертов, сгруппированных по уровню важности.
  • Алертов по правилу. Количество незакрытых алертов, сгруппированных по правилу корреляции.
• Активы. Группа для аналитики об активах из обработанных событий. Эта группа включает следующие веб-виджеты:
  • Затронутые активы в алертах. Таблица с информацией об активах и количестве незакрытых алертов, которые связаны с этими активами. Переход от веб-виджета к разделу со списком активов недоступен.
  • Категории затронутых активов. Категории активов, привязанных к незакрытым алертам.
  • Количество активов. Количество активов, добавленных в Open Single Management Platform.
  • Активы в инцидентах по тенантам. Количество активов в незакрытых инцидентах. Сгруппированы по тенантам.
  • Активы в алертах по тенантам. Количество активов в незакрытых алертах, сгруппированных по тенантам.
• Инциденты. Группа для аналитиков, которые работают с инцидентами.

  В группу входят следующие веб-виджеты:

  • Активные инциденты. Количество незакрытых инцидентов.
  • Неназначенные инциденты. Количество инцидентов со статусом Открыт.
  • Распределение инцидентов. Количество инцидентов, созданных в течение указанного для веб-виджета периода.
  • Инциденты по статусам. Количество инцидентов, сгруппированных по статусам.
  • Инцидентов по типу. Количество инцидентов в любом статусе, сгруппированных по типу.
  • Активные инциденты по тенантам. Количество незакрытых инцидентов, сгруппированных по тенантам, доступным пользователю.
  • Все инциденты. Количество инцидентов всех статусов.
  • Все инциденты по тенантам. Количество инцидентов всех статусов, сгруппированных по тенантам.
  • Категории активов в инцидентах. Категории активов, которые затронуты незакрытыми инцидентами.
  • Последние инциденты. Таблица с информацией о последних 10 незакрытых инцидентах, принадлежащих выбранным в макете тенантам.
  • Инциденты по исполнителю. Количество инцидентов со статусом Назначен. Сгруппированы по имени учетной записи пользователя.
  • Инцидентов по уровню важности. Количество незавершенных инцидентов, сгруппированных по уровню важности.
  • Затронутые активы в инцидентах. Количество активов в незакрытых инцидентах. Переход от веб-виджета к разделу со списком активов недоступен.
  • Затронутые в инцидентах пользователи. Количество пользователей, связанных с инцидентами. Переход от веб-виджета к разделу со списком пользователей недоступен.
• Источники событий. Группа для аналитиков, которые работают с событиями. В группу входят следующие веб-виджеты:
  • Топ источников событий по количеству алертов. Количество незакрытых алертов, сгруппированных по источникам событий.
  • Топ источников событий по условному рейтингу. Количество событий, для которых существует незакрытый алерт, сгруппированных по источникам событий. Группировка осуществляется по источнику событий.

    В некоторых случаях количество алертов, созданных источниками, может быть искажено. Для получения точной статистики рекомендуется в правиле корреляции указать поле события Device Product в качестве уникального, а также включить хранение всех базовых событий в корреляционном событии. Правила корреляции с такими параметрами являются более ресурсоемкими.

• Пользователи. Группа для аналитики о пользователях из обработанных событий. В группу входят следующие веб-виджеты:
  • Затронутые пользователи в алертах. Количество учетных записей, связанных с незакрытыми алертами. Переход от веб-виджета к разделу со списком пользователей недоступен.
  • Количество пользователей AD. Количество учетных записей в Active Directory, полученных по LDAP в течение указанного в веб-виджете периода.

    В таблице событий, в области сведений о событиях, в окне алертов и в веб-виджетах имена активов, учетных записей и служб отображаются вместо идентификаторов в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID. При экспорте событий в файл идентификаторы сохраняются, но в файл добавляются столбцы с именами. Идентификаторы также отображаются при наведении курсора мыши на названия активов, учетных записей или служб.
    Поиск полей с идентификаторами возможен только по идентификаторам.

• Плейбуки. Группа для аналитиков, которые работают с плейбуками.

  Для просмотра веб-виджетов в этой группе у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Администратор SOC, Менеджер SOC, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Подтверждающий, Наблюдатель.

  В группу входят следующие веб-виджеты:

  • Статистика MTTR. Изменение времени первого действия по реагированию на алерты и инциденты за указанный период времени (по умолчанию 30 дней). Веб-виджет отображает столбчатую диаграмму.

    Доступны следующие параметры конфигурации веб-виджета Статистика MTTR:

    • Тип MTTR:
      • Значение. Изменяет среднее время до первого действия по реагированию на алерт и инциденты.
      • Минимальный. Изменяет минимальное время до первого действия по реагированию на алерты и инциденты.
      • Максимальный. Изменяет максимальное время до первого действия по реагированию на алерты и инциденты.
    • Режим реагирования:
      • Вручную. Изменяет время только для первых действий по реагированию вручную.
      • Автоматически. Изменяет время только для автоматических первых действий по реагированию.
      • Все. Изменяет время на все первые действия по реагированию.
    • Область действия:
      • Алерты. Изменяет время до первого действия по реагированию только на алерты.
      • Инциденты. Изменяет время до первого действия по реагированию только на инциденты.
      • Все. Изменяет время до первого действия по реагированию на алерты и инциденты.
  • Автоматический и ручной запуск плейбуков. Общее количество автоматических и ручных запусков плейбуков за определенный период. Веб-виджет отображает столбчатую диаграмму.

    Параметр Тип запуска для веб-виджета указывает, следует ли отображать только количество автоматических запусков, только запусков вручную или общее количество запусков плейбуков за определенный период.

    Для веб-виджетов Статистика MTTR и Автоматический и ручной запуск плейбуков вы также можете установить параметр Длина сегментов периода. Этот параметр указывает период, в течение которого будут сгруппированы данные. Вы можете группировать данные за каждый час, каждые 4 часа или каждые 24 часа. На столбчатой диаграмме параметр Длина сегментов периода указывает ширину столбца.

  • Покрытие алертов и инцидентов с помощью плейбука. Количество активных алертов и инцидентов. Вы можете выбрать, какие компоненты отображать: инциденты, алерты или все.

    На кольцевой диаграмме отображаются алерты/инциденты в следующих секторах:

    • Алерты/инциденты, для которых был запущен плейбук в режиме Автоматический.
    • Алерты/инциденты, для которых был запущен плейбук в режиме Обучение.
    • Все остальные алерты/инциденты.
  • Экономия времени с помощью плейбуков. Экономия времени за счет запуска всех плейбуков со статусом Успешно или Предупреждение.

    По умолчанию веб-виджет не отображается.

  Вы можете просмотреть полный список плейбуков, нажав на имя любого веб-виджета плейбука.

В начало