Сведения об инциденте

Выберите любой инцидент, нажмите кнопку Действия или кнопку с тремя точками > Просмотр сведений.

Обзор — обзор инцидента, доступ к нижеперечисленным сведениям.

•Сведения об инциденте отображаются в главном разделе.

oСерьезность: низкая, средняя или высокая.

oСостояние: «Открыт» — инцидент открыт или повторно открыт администратором безопасности или другим пользователем. «Выполняется» — инцидент выполняется и в данный момент исследуется. «Закрыт» — инцидент закрыт.

oВремя создания

oАвтор

oТеги — выберите и примените к инциденту теги из существующего списка или создайте новые пользовательские теги.

•Влияние на компанию — количество затронутых компьютеров, удостоверений, исполняемых файлов и процессов. Щелкните цифру, чтобы перейти на соответствующую страницу.

•Комментарии — для инцидента можно добавить комментарий. Щелкните Просмотреть все комментарии, чтобы отобразить все созданные комментарии. Комментарий можно изменить, закрепить и удалить.

•Описание — объяснение инцидента.

•Методы MITTRE ATT&CK® — доступные методы MITTRE ATT&CK для выбранного инцидента.

•Рекомендуемые действия — рекомендуемые искусственным интеллектом действия, которые необходимо выполнить, чтобы начать процесс реагирования на инцидент. Можно щелкнуть рекомендуемое действие, чтобы принять меры по исправлению. Действия, которые не могут быть исправлены напрямую, можно пометить как выполненные или невыполненные, если это необходимо.

График — просмотр структуры графика инцидентов, состоящей из индикаторов, в сложной или иерархической структуре. На графике есть панель управления с кнопками для быстрой ориентации — панель увеличения/уменьшения, Вписать в экран, Сбросить вид и информационная подсказка с ярлыками.

График состоит из узлов. На графике можно щелкнуть любой белый узел, чтобы просмотреть подробную информацию на боковой панели. Сведения о серых узлах просмотреть нельзя. Определенные узлы содержат меню с действиями: Просмотр сведений, Просмотр сведений в новой вкладке, Сканировать с очисткой, Изолировать от сети, Расширенный поиск.

Стрелка между узлами обозначает связь между разными типами узлов, например:

oПользователь → АВТОРИЗОВАН → Компьютер

oПользователь → ВЫПОЛНЯЕТ → Процесс

oРодительский процесс → ПОДПРОЦЕСС → Дочерний процесс

Вы можете найти временную шкалу графика инцидентов с панелью управления временной шкалой, чтобы перейти к начальному состоянию графика, переместиться вперед или воспроизвести выбранный период графика.

Группы индикаторов можно выбирать в зависимости от их серьезности. При щелчке по группе индикаторов выделяется подграфик. Подграфик включает в себя только группу индикаторов с выбранной серьезностью. При наведении курсора на индикаторы в таблице соответствующие объекты на графике подсвечиваются.

Индикаторы — список индикаторов. Щелкните индикатор для просмотра сведений. При необходимости можно просмотреть сведения в новой вкладке. Щелкните > Просмотр сведений в новой вкладке.

Вы можете просмотреть дерево процессов с узлами процессов и индикаторов:

В дереве процессов пользователь может перемещаться по индикаторам. Чтобы отобразить сведения в зависимости от доступности данных, в дереве процессов можно щелкнуть узел процесса (круглой формы) или узел индикатора (прямоугольной формы):

Затронутые компьютеры — список затронутых компьютеров.

Затронутые идентификаторы — список затронутых пользователей. Можно нажать кнопку с тремя точками для включения/отключения пользователя, сброса пароля пользователя, отзыва сеансов и выполнения выхода пользователей на связанных устройствах в AD. Задачи XDR можно создавать как действие по реагированию на инциденты.

Процессы — список процессов, запущенных исполняемым файлом. Можно нажать кнопку с тремя точками для выполнения следующих действий.

•Просмотр сведений — перенаправление к дереву процессов с подробными сведениями.

•Просмотр сведений в новой вкладке — перенаправление к дереву процессов с подробными сведениями в новой вкладке.

•Завершить процесс — завершение процесса, если он все еще активен в операционной памяти.

•Расширенный поиск — перенаправление в раздел расширенного поиска с отфильтрованным текстом related.hash.

•Загрузить исполняемый файл — загрузка исполняемого файла для дальнейшего изучения.

•Отправить в ESET LiveGuard — отправка файла вручную в ESET LiveGuard.

Исполняемые файлы — список исполняемых файлов. Можно нажать кнопку с тремя точками для выполнения следующих действий.

•Просмотр сведений — перенаправление к сведениям об исполняемом файле.

•Просмотр сведений в новой вкладке — перенаправление к сведениям об исполняемом файле в новой вкладке.

•Заблокировать исполняемый файл

•Заблокировать и очистить исполняемый файл

•Расширенный поиск — перенаправление в раздел расширенного поиска.

•Загрузить исполняемый файл — загрузка исполняемого файла для дальнейшего изучения.

Временная шкала инцидентов — временная шкала с краткой историей инцидентов от инициирующего события до закрытия инцидента. Если доступно, вы можете:

•просмотреть состояния;

•щелкнуть объект для просмотра сведений;

•щелкнуть действие по реагированию (кроме «Блокировать» и «Блокировать и очистить»), чтобы просмотреть вкладки Сводка, Выполнение, Триггеры и Сведения о выполнении со сведениями, если они доступны.

В каждом разделе можно нажать кнопку обновления , чтобы обновить страницу.

Нажмите кнопку Реагировать на инциденты, чтобы выбрать затронутые объекты и настроить для них действия по реагированию. Выберите действие по реагированию (Изолировать, Выполнить выход пользователя, Перезапустить, Сканировать и очистить) и щелкните Подтвердить.

oКомпьютеры > Продолжить > выберите действие по реагированию (Изолировать, Выполнить выход пользователя, Перезапустить, Сканировать и очистить) > Подтвердить.

oУдостоверения > Продолжить > выберите действие по реагированию

oПроцессы > Продолжить > выберите действие по реагированию (Завершить процесс) > Подтвердить.

oИсполняемые файлы > Продолжить > выберите действие по реагированию (Блокировать, Блокировать и очистить) > Подтвердить.

˄˅