Рекомендации по обработке IDS-обнаружений

В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений или событий, имеющих общие признаки с обнаружением, над которым вы работаете.

Вы можете выполнить следующие рекомендации:

• В разделе Оценка выберите Найти похожие обнаружения по имени хоста. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Имя хоста или IP-адрес из обнаружения, над которым вы работаете, выделено желтым цветом.
• В разделе Оценка выберите Найти похожие обнаружения по URL. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ URL-адресу. URL-адрес из обнаружения, над которым вы работаете, выделен желтым цветом.
• В разделе Оценка выберите Добавить в исключения.

  Откроется окно Добавить правило IDS в исключения. Если вы хоте добавить правило IDS, по которому выполнено обнаружение, в исключения, введите комментарий в поле Описание и нажмите на кнопку Добавить.

  Правило IDS будет добавлено в исключения и отобразится в списке исключений в разделе Параметры веб-интерфейса приложения, подразделе Исключения на закладке Исключения IDS.

• В разделе Расследование выберите Найти похожие события по URL. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска по URI из обнаружения, над которым вы работаете.
• В разделе Расследование выберите Найти похожие события по имени хоста. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска по RemoteIP из обнаружения, над которым вы работаете.
• В разделе Расследование по ссылке Скачать артефакт IDS вы можете скачать файл с данными об обнаружении.
• В разделе Расследование по ссылке Скачать PCAP-файл вы можете скачать файл с данными перехваченного трафика.