Инциденты

Раздел «Инциденты» позволяет сопоставить обнаружения с инцидентами. Благодаря этому значительно улучшается исследование возможных угроз. Вам не нужно просматривать множество обнаружений, так как инциденты создаются автоматически на основе обнаружений, что значительно сокращает время, необходимое для определения приоритетности оповещений.

В разделе Инциденты можно найти список инцидентов, автоматически созданных на основе обнаружений в соответствии с предварительно заданными правилами.

Фильтрация представления

Существуют различные способы фильтрации представления:

•Можно фильтровать с помощью селектора Теги (значок стрелки) и выбрать теги для активации фильтрации отображаемых инцидентов. Теперь в результатах будут отображаться только инциденты с выбранными тегами (выделены синим цветом).

•Можно фильтровать по серьезности инцидента: Высокая, Средняя, Низкая. Можно использовать сразу несколько значков, включая одни из них и отключая другие.

•Можно фильтровать по состоянию инцидента: Открытый, Выполняется, Закрыто.

•Щелкните Добавить фильтр, и в раскрывающемся меню вы сможете выбрать типы отображаемых инцидентов.

oНазначенное лицо — введите имя назначенного лица.

oВремя создания — в раскрывающемся меню выберите: «< 24 ч»,«≥ 24 ч», «≥ 3 дням назад», «≥ 7 дням назад», «≥ 14 дням назад», «≥ одному месяцу назад», «≥ 3 месяцам назад», «≥ 6 месяцам назад», «≥ одному году назад».

oПоследнее обновление — в раскрывающемся меню выберите: «< 24 ч»,«≥ 24 ч», «≥ 3 дням назад», «≥ 7 дням назад», «≥ 14 дням назад», «≥ одному месяцу назад», «≥ 3 месяцам назад», «≥ 6 месяцам назад», «≥ одному году назад».

oИмя — введите имя инцидента.

oКоличество компьютеров — введите количество выбранных компьютеров.

oКоличество обнаружений — введите количество выбранных обнаружений.

Настройка фильтров и расположения элементов

Вы можете настроить представление окна веб-консоли.

•Управление боковой панелью и главной таблицей.

•Добавление фильтра и его предварительные настройки. Теги можно использовать для фильтрации отображаемых элементов.

Сведения об инциденте

Нажмите кнопку Действия или выберите любой инцидент и нажмите кнопку с тремя точками для следующих целей:

•Просмотр сведений — для отображения общих сведений об инциденте.

Обзор — предоставляет следующую информацию:

oКраткие сведения — сведения об инциденте, отображаемые в главном разделе.

oВлияние на компанию — количество затронутых компьютеров. Щелкните цифру, чтобы перейти на соответствующую страницу.

oКомментарии — для инцидента можно добавить комментарий. Щелкните Просмотреть все комментарии, чтобы отобразить все созданные комментарии. Комментарий можно изменить, закрепить и удалить.

oОписание — объяснение инцидента.

oРекомендуемые действия — действия, которые необходимо выполнить, чтобы начать процесс реагирования на инцидент.

Обнаружения — список обнаружений. Можно нажать кнопку с тремя точками для просмотра сведений.

Затронутые компьютеры — список затронутых компьютеров.

Временная шкала инцидентов — временная шкала с краткой историей инцидентов от инициирующего события до закрытия инцидента.

 

Нажмите кнопку Реагировать, чтобы выбрать затронутые объекты и настроить для них действия по реагированию. Можно выбрать действие по реагированию (Изолировать, Выполнить выход пользователя, Перезапустить, Сканировать и очистить) и щелкнуть Подтвердить.

•Изменить состояние и назначенное лицо — щелкните, чтобы выбрать состояние и назначенное лицо в раскрывающемся меню. Нажмите кнопку Сохранить.

•Теги — щелкните, чтобы выбрать теги в раскрывающемся меню, и нажмите Применить. Вы также можете ввести новое ключевое слово и нажать клавишу ВВОД, чтобы создать новый тег.

˄˅