Поддержка

Поддержка приложений для бизнеса

Kaspersky Symphony XDR: SMP

Мониторинг, отчеты и аудит

Панель мониторинга и веб-виджеты

Использование панели мониторинга

Веб-виджеты обнаружения и реагирования

Kaspersky Symphony XDR: Single Management Platform
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Веб-виджеты обнаружения и реагирования

15 мая 2024

ID 264092

Скачать PDF

На вкладке Обнаружение и реагирование вы можете добавлять, настраивать и удалять веб-виджеты.

Набор веб-виджетов, используемых на вкладке Обнаружение и реагирование, называется макетом. Все веб-виджеты должны быть размещены на макетах. Kaspersky SMP позволяет создавать, изменять и удалять макеты. Также доступны преднастроенные макеты панели мониторинга. При необходимости вы можете изменять параметры веб-виджета в предварительно настроенных макетах. По умолчанию на вкладке Обнаружение и реагирование выбран макет Обзор обнаружений.

Веб-виджет отображает данные за период, выбранный в параметрах веб-виджета или макета, только для тенантов, указанных в параметрах веб-виджета или макета.

Перейдя по ссылке с названием веб-виджета о событиях, алертах, инцидентах или активных листах, вы можете перейти в соответствующий раздел интерфейса Kaspersky SMP. Обратите внимание, что этот параметр недоступен для некоторых веб-виджетов.

На вкладке Обнаружение и реагирование в панели мониторинга доступны следующие категории веб-виджетов и веб-виджеты:

  • События. Веб-виджет для создания аналитики на основе событий.
  • Активные листы. Веб-виджет для создания аналитики на основе активных листов корреляторов.
  • Alerts. Группа для аналитиков, которые работают с алертами. Включает информацию об алертах и инцидентах, предоставляемую Kaspersky SMP.

    В группу входят следующие веб-виджеты:

    • Активные алерты. Количество незакрытых алертов.
    • Активные алерты по тенантам. Количество незакрытых алертов, сгруппированных по тенантам.
    • Алерты по тенантам. Количество алертов всех статусов, сгруппированных по тенантам.
    • Неназначенные алерты. Количество алертов, у которых нет исполнителя.
    • Алерты по статусу. Количество алертов со статусами Новый, Открыт, Назначен или Эскалирован. Сгруппированы по статусу.
    • Последние алерты. Таблица с информацией о последних 10 незакрытых алертах, принадлежащих выбранным в макете тенантам.
    • Распределение алертов. Количество алертов, созданных в течение указанного для веб-виджета периода.
    • Алерты по исполнителю. Количество алертов со статусом Назначен. Сгруппированы по имени учетной записи.
    • Алертов по уровню критичности. Количество незавершенных алертов, сгруппированных по уровню критичности.
    • Алертов по правилу. Количество незакрытых алертов, сгруппированных по правилу корреляции.
  • Активы. Группа для аналитики об активах из обработанных событий. Эта группа включает следующие веб-виджеты:
    • Затронутые активы в алертах. Таблица с информацией об активах и количестве незакрытых алертов, которые связаны с этими активами. Переход от веб-виджета к разделу со списком активов недоступен.
    • Категории затронутых активов. Категории активов, привязанных к незакрытым алертам.
    • Количество активов. Количество активов, добавленных в Kaspersky SMP.
    • Активы в инцидентах по тенантам. Количество активов в незакрытых инцидентах. Сгруппированы по тенантам.
    • Активы в алертах по тенантам. Количество активов в незакрытых алертах, сгруппированных по тенантам.
  • Incidents. Группа для аналитиков, которые работают с инцидентами.

    В группу входят следующие веб-виджеты:

    • Активные инциденты. Количество незакрытых инцидентов.
    • Неназначенные инциденты. Количество инцидентов со статусом Открыт.
    • Распределение инцидентов. Количество инцидентов, созданных в течение указанного для веб-виджета периода.
    • Инциденты по статусам. Количество инцидентов, сгруппированных по статусам.
    • Активные инциденты по тенантам. Количество незакрытых инцидентов, сгруппированных по тенантам, доступным пользователю.
    • Все инциденты. Количество инцидентов всех статусов.
    • Все инциденты по тенантам. Количество инцидентов всех статусов, сгруппированных по тенантам.
    • Категории активов в инцидентах. Категории активов, которые затронуты незакрытыми инцидентами.
    • Последние инциденты. Таблица с информацией о последних 10 незакрытых инцидентах, принадлежащих выбранным в макете тенантам.
    • Инциденты по исполнителю. Количество инцидентов со статусом Назначен. Сгруппированы по имени учетной записи пользователя.
    • Инцидентов по уровню критичности. Количество незавершенных инцидентов, сгруппированных по уровню критичности.
    • Затронутые активы в инцидентах. Количество активов в незакрытых инцидентах. Переход от веб-виджета к разделу со списком активов недоступен.
    • Затронутые в инцидентах пользователи. Количество пользователей, связанных с инцидентами. Переход от веб-виджета к разделу со списком пользователей недоступен.
  • Источники событий. Группа для аналитиков, которые работают с событиями. В группу входят следующие веб-виджеты:
    • Топ источников событий по количеству алертов. Количество незакрытых алертов, сгруппированных по источникам событий.
    • Топ источников событий по условному рейтингу. Количество событий, для которых существует незакрытый алерт, сгруппированных по источникам событий. Группировка осуществляется по источнику событий.

      В некоторых случаях количество алертов, созданных источниками, может быть искажено. Для получения точной статистики рекомендуется в правиле корреляции указать поле события Device Product в качестве уникального, а также включить хранение всех базовых событий в корреляционном событии. Правила корреляции с такими параметрами являются более ресурсоемкими.

  • Пользователи. Группа для аналитики о пользователях из обработанных событий. В группу входят следующие веб-виджеты:
    • Затронутые пользователи в алертах. Количество учетных записей, связанных с незакрытыми алертами. Переход от веб-виджета к разделу со списком пользователей недоступен.
    • Количество пользователей AD. Количество учетных записей в Active Directory, полученных по LDAP в течение указанного в веб-виджете периода.

      В таблице событий, в области сведений о событиях, в окне алертов и в веб-виджетах имена активов, учетных записей и служб отображаются вместо идентификаторов в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID. При экспорте событий в файл идентификаторы сохраняются, но в файл добавляются столбцы с именами. Идентификаторы также отображаются при наведении курсора мыши на названия активов, учетных записей или служб.
      Поиск полей с идентификаторами возможен только по идентификаторам.

  • Плейбуки. Группа для аналитиков, которые работают с плейбуками.

    Для просмотра веб-виджетов в этой группе у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Администратор SOC, Менеджер SOC, Младший аналитик, Аналитик первого уровня, Аналитик второго уровня, Подтверждающий, Наблюдатель.

    В группу входят следующие веб-виджеты:

    • Статистика MTTR. Изменение времени первого действия по реагированию на алерты и инциденты за указанный период времени (по умолчанию 30 дней). Веб-виджет отображает столбчатую диаграмму.

      Доступны следующие параметры конфигурации веб-виджета Статистика MTTR:

      • Тип MTTR
        • Значение. Изменяет среднее время до первого действия по реагированию на алерт и инциденты.
        • Минимальный. Изменяет минимальное время до первого действия по реагированию на алерты и инциденты.
        • Максимальный. Изменяет максимальное время до первого действия по реагированию на алерты и инциденты.
      • Режим реагирования
        • Вручную. Изменяет время только для первых действий по реагированию вручную.
        • Автоматически. Изменяет время только для автоматических первых действий по реагированию.
        • Все. Изменяет время на все первые действия по реагированию.
      • Область
        • Алерты. Изменяет время до первого действия по реагированию только на алерты.
        • Инциденты. Изменяет время до первого действия по реагированию только на инциденты.
        • Все. Изменяет время до первого действия по реагированию на алерты и инциденты.
    • Автоматический и ручной запуск плейбуков. Общее количество автоматических и ручных запусков плейбуков за определенный период. Веб-виджет отображает столбчатую диаграмму.

      Параметр Тип запуска для веб-виджета указывает, следует ли отображать только количество автоматических запусков, только запусков вручную или общее количество запусков плейбуков за определенный период.

      Для веб-виджетов Статистика MTTR и Автоматический и ручной запуск плейбуков вы также можете установить параметр Длина сегментов периода. Этот параметр указывает период, в течение которого будут сгруппированы данные. Вы можете группировать данные за каждый час, каждые 4 часа или каждые 24 часа. На столбчатой диаграмме параметр Длина сегментов периода указывает ширину столбца.

    • Покрытие алертов и инцидентов с помощью плейбука. Количество активных алертов и инцидентов. Вы можете выбрать, какие компоненты отображать: инциденты, алерты или все.

      На кольцевой диаграмме отображаются алерты/инциденты в следующих секторах:

      • Алерты/инциденты, для которых был запущен плейбук в режиме Автоматический.
      • Алерты/инциденты, для которых был запущен плейбук в режиме Обучение.
      • Все остальные алерты/инциденты.
    • Экономия времени с помощью плейбуков. Экономия времени за счет запуска всех плейбуков со статусом Успешно или Предупреждение.

      По умолчанию веб-виджет не отображается.

    Вы можете просмотреть полный список плейбуков, нажав на имя любого веб-виджета плейбука.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!