Об алертах
Алерт – это событие в ИТ-инфраструктуре организации, которое было отмечено Kaspersky SMP как необычное или подозрительное и которое может представлять угрозу безопасности ИТ-инфраструктуры организации.
Kaspersky SMP формирует алерт, когда EPP-программа (например, Kaspersky Endpoint Security для Windows) обнаруживает в инфраструктуре определенную активность, соответствующую условиям, заданным в правилах обнаружения.
Алерт создается в течение 30 секунд после возникновения события корреляции KUMA.
Также вы можете создать алерт вручную из набора событий.
После детектирования Kaspersky SMP добавляет алерты в таблицу алертов как объекты, которые должны быть обработаны аналитиками. Вы не можете удалить алерты. Их можно только закрыть.
Алерты могут быть назначены только аналитикам, имеющим право читать и изменять алерты и инциденты.
Вы можете управлять алертами как объектами, используя следующие свойства алертов:
Вы можете комбинировать и связывать алерты с более крупными рабочими объектами, называемыми инцидентами. Вы можете связать алерты с инцидентами вручную или включить правила для автоматического создания инцидентов и связывания алертов. Используя инциденты, аналитики могут исследовать несколько алертов как одну проблему. Когда вы связываете алерт, ни с чем не связанный в текущий момент, с инцидентом, алерт приобретает статус В инциденте. Вы можете связать алерт, ни с чем не связанный в текущий момент, с другим инцидентом. В этом случае статус алерта сохраняется. Вы можете связать с инцидентом не более 200 алертов.
Каждый алерт содержит детали алерта, которые содержат всю информацию, относящуюся к алерту. Вы можете использовать эту информацию для исследования алерта, отслеживания событий, предшествующих алерту, просмотра обнаруженных артефактов, затронутых активов или для привязки алерта к инциденту.