Просмотр сведений об инциденте НКЦКИ
В окне во сведениями об инциденте НКЦКИ вы можете просматривать всю информацию, относящуюся к инциденту, включая его свойства.
Чтобы просмотреть сведения об инциденте НКЦКИ:
- В главном меню перейдите в раздел Мониторинг и отчеты → Инциденты.
- Выберите вкладку Инциденты НКЦКИ.
- В открывшейся таблице нажмите на идентификатор инцидента.
Откроется окно со сведениями об инциденте НКЦКИ.
В заголовке окна указан краткий уникальный идентификатор инцидента и статус, присвоенный инциденту в НКЦКИ. Если инцидент еще не был экспортирован в НКЦКИ, он имеет статус Черновик. Некоторые параметры инцидента НКЦКИ доступны для редактирования, остальные параметры наследуются от инцидента XDR и не редактируются.
С помощью панели инструментов в верхней части окна вы можете выполнять следующие действия:
- редактировать инцидент НКЦКИ;
- удалять инцидент НКЦКИ;
- экспортировать инцидент НКЦКИ.
Окно сведений об инциденте НКЦКИ содержит разделы, описанные ниже.
Сводная информация
В этом разделе вы можете просматривать и при необходимости редактировать следующую общую информацию об инциденте НКЦКИ:
- Короткий идентификатор – уникальный идентификатор инцидента НКЦКИ.
- Тенант – имя тенанта, в котором был обнаружен инцидент.
- Обнаружено – дата и время обнаружения инцидента.
- Завершено – дата и время закрытия инцидента. Этот параметр доступен для редактирования.
- Описание – краткое описание инцидента. Этот параметр доступен для редактирования.
- Категория – категория инцидента НКЦКИ. Этот параметр доступен для редактирования.
- Тип – тип инцидента НКЦКИ. Этот параметр доступен для редактирования.
- Утечка персональных данных – уведомление об утечке персональных данных. Этот параметр доступен для редактирования.
Параметр отображается, если при редактировании категории инцидента вы выбрали Уведомление о компьютерном инциденте, а затем выбрали один из следующих типов:
- Заражение ВПО
- Компрометация учетной записи
- Несанкционированное разглашение информации
- Успешная эксплуатация уязвимости
- Событие не связано с компьютерной атакой
- Название компании – наименование главной организации, в которой произошел инцидент.
- TLP – маркер протокола Traffic Light, который определяет уровень конфиденциальности информации, содержащейся в сведениях об инциденте НКЦКИ. Этот параметр доступен для редактирования.
- Состояние действия – статус реагирования на инцидент. Этот параметр доступен для редактирования.
- Инцидент XDR – инцидент XDR, на основе которого был создан инцидент НКЦКИ.
- Затронутая система имеет подключение к интернету – наличие доступа в интернет в системе, где произошел инцидент. Этот параметр доступен для редактирования.
Если система, где произошел инцидент, имеет доступ в интернет, то становится доступна вкладка, где можно заполнить технические сведения об атакованном ресурсе (раздел Технические сведения об атакованном ресурсе) и вредоносной системе (раздел Технические сведения о вредоносной системе).
- Требуется помощь – необходимость получения помощи от сотрудников НКЦКИ. Этот параметр доступен для редактирования.
- Имя затронутой системы – название атакованной системы. Этот параметр доступен для редактирования.
- Категория затронутой системы – категория значимости объекта критической информационной инфраструктуры (далее КИИ). Этот параметр доступен для редактирования.
- Функция затронутой системы – сфера деятельности организации, в которой функционирует атакованная система.
- Расположение – геокод, соответствующий субъекту Российской Федерации, в котором располагается организации.
- Средство обнаружения – приложение, с помощью которого был зарегистрирован инцидент. Этот параметр доступен для редактирования.
- Город – город, в котором расположен объект КИИ, на котором произошел инцидент, атака или обнаружена уязвимость. Этот параметр доступен для редактирования.
- Влияние на доступность – влияние инцидента на доступность атакованной системы.
Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.
- Влияние на целостность – влияние инцидента на целостность атакованной системы.
Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.
- Влияние на конфиденциальность – влияние инцидента на конфиденциальность атакованной системы.
Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.
- Другое влияние – описание других последствий компьютерного инцидента или компьютерной атаки.
Параметр доступен для таких категорий инцидента НКЦКИ как Уведомление о компьютерном инциденте и Уведомление о компьютерной атаке. Значение статуса определяется параметром Уровень важности родительского инцидента XDR.
- Категория программ – наименование и версия уязвимого приложения. Параметр доступен для категории инцидента НКЦКИ Уведомление о наличии уязвимости.
- Технические сведения об атакованном ресурсе – технические сведения о системе, где произошел инцидент, атака или обнаружена уязвимость. Этот параметр доступен для редактирования.
- Технические сведения о вредоносной системе – технические сведения о вредоносной системе, вследствие атаки которой произошел инцидент. Этот параметр доступен для редактирования.
Интеграция с НКЦКИ
В этом разделе вы можете просматривать следующую информацию об инциденте, который был экспортирован в НКЦКИ:
- UUID – уникальный идентификатор карточки уведомления в НКЦКИ.
- Регистрационный номер – регистрационный номер уведомления в НКЦКИ.
- Зарегистрировано – дата и время регистрации инцидента в НКЦКИ.
- Время обновления – дата последнего обновления инцидента в НКЦКИ.
История
В этом разделе вы можете просматривать следующую информацию об истории изменений инцидента НКЦКИ:
- Время – дата и время изменения инцидента.
- Пользователь – имя пользователя, который изменил инцидент.
- Подробнее – информация об изменении инцидента.