Инциденты
Выпуск раздела Инциденты будет происходить постепенно в ближайшие недели. |
Раздел «Инциденты» позволяет сопоставлять обнаружения с инцидентами, что улучшает процесс исследования угроз. Инциденты создаются автоматически на основе обнаружений, существенно сокращая время, необходимое для определения приоритетности оповещений.
В разделе Инциденты отображаются инциденты, автоматически созданные на основе обнаружений согласно предварительно заданным правилам.
Фильтрация представления
Существуют различные способы фильтрации представления:
•Щелкните селектор Теги (значок стрелки) и выберите теги, чтобы активировать фильтр для отображаемых инцидентов. Результаты выделяются синим цветом и включают в себя инциденты с выбранными тегами.
•Щелкните Серьезность инцидента — Высокая,
Средняя или
Низкая. Эти значки можно комбинировать, включая и выключая их.
•Состояние инцидента — Открытый,
Выполняется или
Закрыто.
•Щелкните Добавить фильтр и выберите типы инцидентов в раскрывающемся меню.
oНазначенное лицо — введите имя назначенного лица.
oАвтор — выберите в раскрывающемся меню: ESET, «Сервис ESET» или имя пользователя.
oВремя создания — в раскрывающемся меню выберите: «< 24 ч»,«≥ 24 ч», «≥ 3 дням назад», «≥ 7 дням назад», «≥ 14 дням назад», «≥ одному месяцу назад», «≥ 3 месяцам назад», «≥ 6 месяцам назад».
oПоследнее обновление — в раскрывающемся меню выберите: «< 24 ч»,«≥ 24 ч», «≥ 3 дням назад», «≥ 7 дням назад», «≥ 14 дням назад», «≥ одному месяцу назад», «≥ 3 месяцам назад», «≥ 6 месяцам назад».
oИмя — введите имя инцидента.
oКоличество компьютеров — введите количество выбранных компьютеров.
oКоличество обнаружений — введите количество выбранных обнаружений.
Настройка фильтров и расположения элементов
Вы можете настроить представление окна веб-консоли.
•Управление боковой панелью и главной таблицей.
•Добавление фильтра и его предварительные настройки. Теги можно использовать для фильтрации отображаемых элементов.
Если не удается найти в списке какой-либо конкретный инцидент, который точно есть в инфраструктуре ESET PROTECT, отключите все фильтры и убедитесь, что наборы разрешений назначены вашей учетной записи пользователя. |
|
|
|
Открыть раздел Инциденты в веб-консоли ESET Inspect. ESET Inspect доступна только в том случае, если у вас есть лицензия ESET Inspect и решение ESET Inspect подключено к ESET PROTECT. Пользователю веб-консоли требуется разрешение на чтение и выше для доступа к ESET Inspect. |
|
Обновить страницу. |
Сведения об инциденте
Выберите любые инциденты, нажмите кнопку Действия, а затем кнопку с тремя точками , чтобы выполнить следующие действия:
•Просмотр сведений — для отображения общих сведений об инциденте.
Обзор — доступ к следующим сведениям:
oКраткие сведения — сведения об инциденте отображаются в главном разделе.
oВлияние на компанию — количество затронутых компьютеров, исполняемых файлов и процессов. Щелкните цифру, чтобы перейти на соответствующую страницу.
oКомментарии — для инцидента можно добавить комментарий. Щелкните Просмотреть все комментарии, чтобы отобразить все созданные комментарии. Комментарий можно изменить, закрепить и удалить.
oОписание — объяснение инцидента.
oМетоды MITTRE ATT&CK® — доступные методы MITTRE ATT&CK для выбранного инцидента.
oРекомендуемые действия — действия, которые необходимо выполнить, чтобы начать процесс реагирования на инцидент.
Обнаружения — список обнаружений. Чтобы просмотреть сведения, можно щелкнуть значок с тремя точками .
Затронутые компьютеры — список затронутых компьютеров.
Временная шкала инцидентов — временная шкала с краткой историей инцидентов от инициирующего события до закрытия инцидента.
В каждом разделе можно щелкнуть:
•кнопку Inspect для перехода в ESET Inspect и исследования инцидента на графике инцидентов;
•кнопку «Обновить» для обновления страницы.
Нажмите кнопку Реагировать на инциденты, чтобы выбрать затронутые объекты и настроить для них действия по реагированию. Выберите действие по реагированию (Изолировать, Выполнить выход пользователя, Перезапустить, Сканировать и очистить) и щелкните Подтвердить.
oКомпьютеры > Продолжить > выберите действие по реагированию (Изолировать, Выполнить выход пользователя, Перезапустить, Сканировать и очистить) > Подтвердить.
oПроцессы > Продолжить > выберите действие по реагированию (Завершить процесс) > Подтвердить.
oИсполняемые файлы > Продолжить > выберите действие по реагированию (Блокировать, Блокировать и очистить) > Подтвердить.
•Изменить состояние и назначенное лицо — щелкните для выбора в раскрывающемся меню.
oСостояние — выберите в раскрывающемся меню текущее состояние инцидента: Открытый, Выполняется или Закрыто. При выборе варианта «Закрыто» необходимо дополнительно выбрать причину закрытия инцидента (Правильное срабатывание, Подозрительный, Ложное срабатывание или недействительный) и при необходимости написать комментарий.
oНазначенное лицо — если выбрано состояние Открытый или Выполняется, выберите в раскрывающемся меню доступного пользователя.
Нажмите кнопку Сохранить.
•Теги — щелкните, чтобы выбрать теги в раскрывающемся меню, и нажмите Применить. Кроме того, чтобы создать новый тег, можно ввести новое ключевое слово и нажать клавишу ВВОД.