Поддержка

Поддержка приложений для бизнеса

Kaspersky Symphony XDR: SMP

Обнаружение угроз

Работа с инцидентами

Граф расследования

Kaspersky Symphony XDR: Single Management Platform
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Граф расследования

15 мая 2024

ID 264307

Скачать PDF

Граф расследования – это инструмент визуального анализа, который показывает связь между следующими объектами:

  • События
  • Алерты
  • Инциденты
  • Наблюдаемые объекты
  • Активы (Устройства)
  • Правила сегментации

На графе отображается подробная информация об инциденте: соответствующие алерты и их общие свойства.

Чтобы открыть граф расследования:

  1. В главном окне программы перейдите в раздел Мониторинг и отчеты Инциденты.
  2. В таблице инцидентов нажмите на идентификатор требуемого инцидента.

    Откроется окно со сведениями об инциденте.

  3. Нажмите на кнопку Просмотреть на графе.

Для просмотра графа требуется право на Запись в функциональной области Алерты и инциденты. Дополнительную информацию см. в следующих разделах: Предопределенные роли пользователей.

Вы можете использовать панорамное отображение и масштабирование в правом нижнем углу для навигации по сложному графу.

Взаимодействие с узлами графа

Вы можете использовать панель инструментов вверху, чтобы добавлять алерты и наблюдаемые объекты.

Вы можете нажать и перетащить узлы графа, чтобы переставить их.

Нажмите на узел графа, чтобы открыть контекстное меню.

Общие пункты контекстного меню:

  • Просмотреть информацию

    Открывает окно свойств выбранного узла.

  • Копировать

    Копирует значение узла в буфер обмена.

  • Скрыть

    Удаляет выбранный узел из графа.

Пункты контекстного меню, специфичные для событий:

Дерево процессов

Доступно только для определенных типов событий. Создает дерево процессов для события. Индикация события синим цветом указывает на то, что вы можете сгенерировать дерево процессов для этого события.

Пункты контекстного меню, специфичные для алертов:

  • Изменить статус

    Вызывает панель Изменения статуса, которая позволяет изменить статус алерта.

  • Наблюдаемые объекты

    Меню, которое позволяет добавлять общие наблюдаемые объекты в качестве узлов графа.

  • Устройства

    Меню, которое позволяет добавлять общие устройства в качестве узлов графа.

Пункты контекстного меню, специфичные для наблюдаемых объектов:

  • Найти похожие события

    Вызывает панель Поиск угроз, на которой отображаются похожие события.

  • Найти похожие алерты

    Вызывает панель Алерты, на которой отображаются похожие алерты.

  • Запросить статусы Kaspersky TIP

    Позволяет вам получать подробную информацию о выбранном наблюдаемом объекте в Kaspersky Threat Intelligence Portal (Kaspersky TIP). Подробнее см. в разделе Интеграция с Kaspersky Threat Intelligence Portal.

  • Обогатить данные Kaspersky TIP

    Используйте эту кнопку, чтобы получить подробную информацию о выбранном наблюдаемом объекте в Kaspersky TIP. Подробнее см. в разделе Интеграция с Kaspersky Threat Intelligence Portal.

Правила сегментации, специфичные для объектов:

  • Просмотреть сведения в KUMA

    Открывает консоль KUMA в новой вкладке браузера, на которой отображаются сведения о правиле.

  • Найти похожие алерты

    Вызывает панель Алерты, на которой отображаются похожие алерты.

Если вы попытаетесь добавить алерт для другого тенанта, он не будет отображаться на графе расследования.

Вы также можете добавить наблюдаемые объекты, нажав на алерт или событие. В открывшемся контекстном меню выберите Наблюдаемые объекты и нажмите на наблюдаемый объект, чтобы добавить его на граф расследования. Чтобы удалить наблюдаемый объект с графа расследования, нажмите на наблюдаемый объект, чтобы открыть контекстное меню, и нажмите на кнопку Скрыть.

Группировка элементов графа

Граф расследования автоматически группирует алерты с общими параметрами.

Чтобы разгруппировать алерт:

  1. Нажмите на элемент графа, соответствующий группе алертов.

    Отобразится таблица со списком алертов.

  2. Выберите алерт, который вы хотите отобразить на графе.
  3. Нажмите на кнопку Показать на графе в панели инструментов таблицы.

    Алерт добавлен в виде узла графа.

    Чтобы скрыть алерт, нажмите на кнопку Скрыть на графе.

Связывание элементов графа

Граф расследования автоматически создает ссылки для новых элементов, если это применимо. Ссылки можно добавлять вручную.

Чтобы добавить ссылку вручную:

  1. Нажмите на кнопку Связать узлы.

    Вокруг узлов графа появятся точки соединения.

  2. Нажмите на элемент и перетащите его от точки привязки одного узла к точке привязки другого узла.

Ссылки, созданные вручную, имеют цветовую индикацию.

Поиск угроз

Нажмите на кнопку Поиск угроз в панели инструментов вверху. Или вызовите контекстное меню узла графа и выберите пункт События или Найти похожие события, чтобы открыть панель Поиск угроз. Дополнительную информацию см. в разделе: Поиск угроз.

Экспорт графа

Нажмите на кнопку Экспортировать в панели инструментов вверху, чтобы сохранить граф в формате SVG.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!