Сведения об инциденте – это страница в интерфейсе, которая содержит всю информацию, относящуюся к инциденту, включая свойства инцидента.
Чтобы просмотреть сведения об инциденте:
Откроется окно со сведениями об инциденте.
Панель инструментов в верхней части информации об инциденте позволяет выполнять следующие действия:
Сведения об инциденте содержат следующие разделы:
Этот раздел содержит следующие свойства инцидента:
Когда в меню вы нажимаете на раздел Перейти в Поиск угроз, раздел Поиск угроз открывается в той же вкладке. Если вы хотите открыть раздел Поиск угроз в новой вкладке браузера, зажмите клавишу Ctrl
и в меню нажмите на раздел Перейти в Поиск угроз.
В разделе Подробнее вы можете отслеживать события телеметрии, связанные с инцидентом.
Чтобы просмотреть события, связанные с инцидентом, нажмите на кнопку Поиск угроз. В открывшейся таблице отобразятся события алерта, связанные с инцидентом.
Панель инструментов таблицы событий позволяет выполнить следующие действия:
Вы можете вернуться к деталям инцидента, нажав на кнопку Исследование инцидента или на кнопку Назад в вашем браузере.
В разделе Подобные инциденты вы можете просмотреть список инцидентов, которые имеют те же затронутые артефакты, что и текущий инцидент. Затронутые артефакты включают как наблюдаемые объекты, так и затронутые устройства алертов, связанных с инцидентом. В списке есть инциденты во всех статусах.
С помощью вы можете оценить степень сходства текущего инцидента и других инцидентов. Сходство рассчитывается следующим образом:
Сходство = M / T * 100
Здесь "M" – количество артефактов, совпадающих в текущем и аналогичном инциденте, "T" – общее количество артефактов в текущем инциденте.
Если сходство составляет 100%, в текущем инциденте нет ничего нового по сравнению с аналогичным инцидентом. Если сходство равно 0%, текущий инцидент и схожий инцидент полностью различаются. Инциденты, имеющие сходство 0%, не включаются в список.
Расчетное значение округляется до ближайшего целого числа. Если сходство равно значению от 0% до 1%, приложение не округляет это значение до 0%. В этом случае значение отображается меньше 1%.
При нажатии на идентификатор инцидента открывается подробная информация об инциденте.
Настройка списка похожих инцидентов
Вы можете настроить таблицу, используя следующие параметры:
В разделе Алерты вы можете просмотреть список алертов, связанных с текущим инцидентом.
Нажав на идентификатор алерта, вы можете открыть детали алерта. Вы также можете использовать кнопки панели инструментов, чтобы удалить связь алерта с инцидентом.
В разделе Активы вы можете просмотреть устройства и пользователей, затронутых или вовлеченных в инцидент.
Таблица активов содержит следующие столбцы:
Возможные значения: устройство или пользователь.
Возможные значения: атакующий или атакуемый.
Этот параметр применяется только к типу актива – устройство. Статус авторизации устройства определяется KICS for Networks. Вы можете изменить статус авторизации, применив соответствующее действие по реагированию к устройству.
Сервер администрирования, который управляет устройством.
Группа администрирования, к которой принадлежит пользователь.
Категории активов, в которые входит актив.
Информация о том, является ли актив объектом критической информационной инфраструктуры (КИИ). Столбец доступен для отображения, если лицензия приложения включает модуль ГосСОПКА и если вам назначена одна из следующих ролей XDR: Доступ к объектам КИИ, Главный администратор.
Возможные значения:
Нажав на имя пользователя или устройства, вы можете:
Вы также можете нажать на имя устройства, чтобы открыть свойства устройства.
Нажав на идентификатор пользователя или идентификатор устройства, вы можете:
Вы также можете нажать на идентификатор устройства, чтобы открыть его свойства.
В разделе Наблюдаемые объекты вы можете просмотреть наблюдаемые объекты, которые относятся к алертам, связанными с текущим инцидентом. Наблюдаемые объекты могут включать:
Нажав на ссылку в столбце Значение, вы можете:
Если после перехода по ссылке в столбце Значение вы выбираете в меню раздел Перейти в Поиск угроз, раздел Поиск угроз открывается на той же вкладке. Если вы хотите открыть раздел Поиск угроз в новой вкладке браузера, зажмите клавишу Ctrl
и в меню нажмите на раздел Перейти в Поиск угроз.
Панель инструментов этого раздела содержит следующие кнопки:
В разделе История журнала событий вы можете отслеживать изменения, внесенные в инцидент как в объект:
В разделе История реагирований вы можете просмотреть действия по реагированию, выполненные вручную, а также действия, выполненные в рамках плейбука. Таблица содержит следующие столбцы:
В разделе Комментарии вы можете оставлять комментарии, связанные с инцидентом. Например, вы можете написать комментарий о результатах расследования или при изменении свойств инцидента, таких как исполнитель или статус инцидента.
Вы можете изменять или удалять свои комментарии. Комментарии других пользователей невозможно изменить или удалить.
Чтобы сохранить комментарий, нажмите на клавишу Enter. Чтобы начать новую строку, нажмите на клавиши Shift + Enter. Чтобы изменить или удалить свой комментарий, используйте кнопки в правом верхнем углу.
Для возможности оставлять комментарии требуется право на Запись в функциональной области Алерты и инциденты.