Об алертах

Развернуть все | Свернуть все

Алерт – это событие в ИТ-инфраструктуре организации, которое было отмечено Kaspersky SMP как необычное или подозрительное и которое может представлять угрозу безопасности ИТ-инфраструктуры организации.

Kaspersky SMP формирует алерт, когда EPP-программа (например, Kaspersky Endpoint Security для Windows) обнаруживает в инфраструктуре определенную активность, соответствующую условиям, заданным в правилах обнаружения.

Алерт создается в течение 30 секунд после возникновения события корреляции KUMA.

Также вы можете создать алерт вручную из набора событий.

После детектирования Kaspersky SMP добавляет алерты в таблицу алертов как объекты, которые должны быть обработаны аналитиками. Вы не можете удалить алерты. Их можно только закрыть.

Алерты могут быть назначены только аналитикам, имеющим право читать и изменять алерты и инциденты.

Вы можете управлять алертами как объектами, используя следующие свойства алертов:

• Статус алерта.

  Возможные значения: Новый, В обработке, Закрыто или В инциденте.

  Статус алерта показывает текущий статус алерта в его жизненном цикле. Вы можете изменить статус по своему усмотрению, за исключением следующих случаев:

  • Вы не можете вернуть закрытые алерты в статус В обработке. Закрытые алерты можно вернуть только в статус Новый, а затем статус можно изменить на В обработке.
  • Вы не можете установить статус В инциденте вручную. Алерты получают этот статус, когда они связаны с инцидентом.
  • Вы можете установить статус Закрыт только для связанного алерта. Чтобы установить статус Новый или В обработке, необходимо отменить связь между алертом и инцидентом.
• Уровень критичности алерта.

  Возможные значения: Низкий, Средний, Высокий или Критичный.

  Уровень критичности алерта показывает, какое влияние этот алерт может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского". Уровень важности определяется автоматически и не может быть изменен вручную.

• Ответственный за алерт.

  Владелец алерта, аналитик, который отвечает за расследование алерта. Вы можете изменить ответственного за алерт в любое время. Невозможно изменить исполнителя закрытых алертов.

Вы можете комбинировать и связывать алерты с более крупными рабочими объектами, называемыми инцидентами. Вы можете связать алерты с инцидентами вручную или включить правила для автоматического создания инцидентов и связывания алертов. Используя инциденты, аналитики могут исследовать несколько алертов как одну проблему. Когда вы связываете алерт, ни с чем не связанный в текущий момент, с инцидентом, алерт приобретает статус В инциденте. Вы можете связать алерт, ни с чем не связанный в текущий момент, с другим инцидентом. В этом случае статус алерта сохраняется. Вы можете связать с инцидентом не более 200 алертов.

Каждый алерт содержит детали алерта, которые содержат всю информацию, относящуюся к алерту. Вы можете использовать эту информацию для исследования алерта, отслеживания событий, предшествующих алерту, просмотра обнаруженных артефактов, затронутых активов или для привязки алерта к инциденту.