Добавление статуса, причины, экспертного заключения и замечания к инциденту или группе инцидентов
Kaspersky MLAD позволяет добавлять экспертное заключение или замечание к зарегистрированному инциденту.
Экспертное заключение, как правило, добавляет эксперт (технолог или специалист АСУ ТП), и оно может содержать анализ инцидента или рекомендации по устранению проблемы, на которую указывает выявленный инцидент. Экспертное заключение может быть добавлено как к инциденту, так и к группе инцидентов. При этом если сгруппированы инциденты, к которым ранее были добавлены экспертные заключения, то эти заключения отображаются и в группе (с привязкой к каждому конкретному инциденту). При перегруппировке инцидентов экспертное заключение для инцидента мигрирует вместе с инцидентом в новую группу.
Замечания предназначены для обсуждения между экспертами или операторами предпринятых по инциденту действий: анализ, расследование, исправление. В каждом замечании фиксируется информация о том, кто и когда его добавил.
Вы также можете добавить причину возникновения инцидента и статус инцидента, установленные экспертом по результатом анализа инцидента. Статус инцидента может быть присвоен как инциденту, так и группе инцидентов. При изменении статуса группы инцидентов Kaspersky MLAD изменяет статус инцидентов, входящих в эту группу.
Перед добавлением причины, статуса, замечания или экспертного заключения требуется провести анализ зарегистрированного инцидента.
Чтобы добавить экспертное заключение, статус, причину и замечание к инциденту:
- В основном меню выберите раздел Инциденты.
- При необходимости измените статус инцидента, выбрав в раскрывающемся списке Статус один из следующих статусов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать или Ложное срабатывание.
По умолчанию инциденту присваивается статус Не установлен. Если требуется, системный администратор может создать, изменить или удалить статусы инцидентов.
- Для отображения подробных технических характеристик нажмите на значок стрелки вправо () около интересующего вас инцидента. В открывшейся области деталей вы можете выполнить следующие действия:
- Если требуется добавить причину инцидента, в поле Причина инцидента выберите причину инцидента.
При необходимости системный администратор может создать, изменить или удалить причины инцидентов.
- Если требуется добавить экспертное заключение по анализу зарегистрированного инцидента, нажмите на значок Изменить экспертное заключение (), расположенную справа от поля Экспертное заключение, в появившемся поле введите заключение и нажмите на клавишу ENTER.
Экспертное заключение будет добавлено к выбранному инциденту и отобразится в таблице инцидентов разделе Инциденты.
- Если требуется добавить замечание к инциденту, в поле Замечание введите сообщение и нажмите на кнопку Добавить замечание.
Вы можете указать сообщение длиной не более 512 символов.
- Если требуется добавить причину инцидента, в поле Причина инцидента выберите причину инцидента.
Статус, причина, экспертное заключение и замечание будут добавлены к инциденту и будут доступны другим пользователям при просмотре этого инцидента.
При обнаружении двух и более похожих инцидентов Kaspersky MLAD автоматически объединяет их в группу. Имя группы присваивается также автоматически – Group #N (N – порядковый номер группы). Вы можете изменить название группы, а также изменить статус группы инцидентов и экспертное заключение, содержащее, например, рекомендации при анализе похожих инцидентов.
Чтобы добавить статус и экспертное заключение к группе инцидентов:
- В основном меню выберите раздел Инциденты и нажмите на Группы.
- При необходимости измените статус группы инцидентов, выбрав в раскрывающемся списке Статус один из следующих статусов: Исследуется, Ожидается решение, Инструкции даны, Проблема закрыта, Причина неизвестна, Игнорировать или Ложное срабатывание.
При изменении статуса группы инцидентов Kaspersky MLAD изменяет статус инцидентов, входящих в эту группу. По умолчанию группе инцидентов присваивается статус Не установлен.
Если требуется, системный администратор может создать, изменить или удалить статусы инцидентов.
- В таблице групп инцидентов дважды нажмите на строку группы инцидентов.
Откроется окно Изменение группы.
Вы также можете перейти к изменению группы на вкладке Инциденты. Для этого выберите нужную группу в фильтре Группа и в блоке экспертного заключения для группы, отображающемся над таблицей инцидентов, нажмите на кнопку Изменить.
- Если требуется изменить название группы инцидентов, в поле Имя группы введите новое название группы.
- В поле Экспертное заключение введите текст экспертного заключения (например, рекомендации при анализе похожих инцидентов).
- Нажмите на кнопку Сохранить.
Статус и экспертное заключение будут изменены для группы инцидентов и будут доступны для просмотра другим пользователям в таблице Группы в разделе Инциденты.