Відомості про інцидент

Виберіть один із інцидентів, клацніть кнопку Дії або кнопку з трьома крапками () > Переглянути відомості.

Огляд: огляд інциденту, де викладено наведену нижче інформацію.

•Деталі про інцидент, які відображаються в основному розділі.

oРівень критичності: низький, середній чи високий.

oСтатус: відкрито (інцидент відкрито вперше або повторно адміністратором безпеки чи іншим користувачем). Триває: інцидент триває і наразі розслідується. Закрито: інцидент закрито.

oЧас створення

oАвтор

oТеги: дає змогу вибрати теги зі списку або створити спеціальні й застосувати їх до інциденту.

•Вплив на компанію: кількість уражених комп’ютерів, особистих даних, виконуваних файлів і процесів. Натисніть число, щоб перейти на відповідну сторінку.

•Коментарі — можна додати коментар до інциденту. Натисніть Переглянути всі коментарі, щоб відобразити всі створені коментарі. Ви можете відредагувати, закріпити або видалити коментар.

•Опис: пояснення інциденту.

•Методи MITTRE ATT&CK®: доступні методи MITTRE ATT&CK для вибраного інциденту.

•Рекомендовані дії — кроки, рекомендовані штучним інтелектом, які потрібно виконати, щоб розпочати процес реагування на інциденти. Ви можете натиснути один із запропонованих кроків, щоб виконати дію з виправлення. Дії, що не підлягають безпосередньому виправленню, за потреби можна позначити як виконані або невиконані.

Графік — перегляд структури графіка інцидентів, що складається з індикаторів, у комбінованому або ієрархічному розташуванні. На графіку розміщено панель управління, яка містить кнопки для швидкої орієнтації: повзунок збільшення/зменшення масштабу, опції За розміром екрана, Скинути перегляд і інформаційну підказку Сполучення клавіш.

Графік складається з вузлів. Щоб переглянути докладну інформацію на бічній панелі, натисніть білий вузол на графіку. Докладні дані недоступні для сірих вузлів. Окремі вузли мають меню з такими діями: Переглянути відомості, Переглянути відомості в новій вкладці, Сканувати з очищенням, Ізолювати від мережі, Розширений пошук.

Стрілка між вузлами позначає зв’язок між різними їх типами, як-от показано нижче.

oКористувач → ВХІД У СИСТЕМУ → Комп’ютер

oКористувач → ВИКОНАННЯ → Процес

oБатьківський процес → ПІДПРОЦЕС → Дочірній процес

На панелі управління часом доступна часова шкала графіка інцидентів, яка дає змогу повернутися до початкового стану графіка, перейти вперед або відтворити його вибраний період.

Ви можете вибирати групи індикаторів на основі рівня їхньої критичності. У разі натискання групи індикаторів виділяється підграфік. Він складається лише з групи індикаторів вибраного рівня критичності. Якщо навести курсор на індикатори в таблиці, відповідні об’єкти на графі підсвічуються.

Індикатори: список індикаторів. Щоб переглянути докладні відомості, натисніть відповідний індикатор. За бажанням їх можна відобразити в новій вкладці, натиснувши  > Переглянути відомості в новій вкладці.

Ви можете подивитися дерево процесів із вузлами, які містять процеси й індикатори.

Дерево процесів дає користувачам змогу переходити між індикаторами. На ньому ви можете натиснути вузол певного процесу (округлий) або індикатора (прямокутний), щоб переглянути доступні відомості про них, зокрема наведені нижче.

Уражені комп’ютери: список комп’ютерів, які зазнали впливу інциденту.

Уражені ідентифікатори: список користувачів, які зазнали впливу інциденту. Можна клацнути кнопку з трьома крапками , щоб вибрати потрібну дію: Увімкнути/вимкнути користувача, Скинути пароль користувача, Відкликати сеанси > Вийти з облікових записів користувачів на пов’язаних пристроях в AD. Завдання XDR можна створювати як дії з реагування на інциденти.

Процеси: список процесів, запущених виконуваним файлом. Можна натиснути піктограму з трьома крапками , щоб відкрити меню команд.

•Переглянути відомості: дає змогу перейти на дерево процесів із докладними відомостями.

•Переглянути відомості на новій вкладці: дає змогу перейти на дерево процесів із докладними відомостями на новій вкладці.

•Завершити процес: завершити процес за допомогою команди kill, якщо він іще активний в оперативній пам’яті.

•Розширений пошук: дає змогу перейти до розділу Розширений пошук із фільтрацією за атрибутом related.hash.

•Завантажити виконуваний файл: дає змогу завантажити виконуваний файл для подальшого розслідування.

•Надіслати в ESET LiveGuard: вручну надіслати файл у ESET LiveGuard.

Виконувані файли: список виконуваних файлів. Можна натиснути піктограму з трьома крапками , щоб відкрити меню команд.

•Переглянути відомості: дає змогу перейти до відомостей про виконувані файли.

•Переглянути відомості на новій вкладці: дає змогу перейти до відомостей про виконувані файли на новій вкладці.

•Блокувати виконуваний файл

•Заблокувати й очистити виконуваний файл

•Розширений пошук: дає змогу перейти до розділу Розширений пошук.

•Завантажити виконуваний файл: дає змогу завантажити виконуваний файл для подальшого розслідування.

Часова шкала інцидентів: хронологія з короткою історією інцидентів (від події, що спричинила інцидент, до закриття інциденту). Також можуть бути доступні наведені нижче функції.

•Перевірка статусів.

•Натискання об’єкта для перегляду відомостей.

•Ви можете натиснути дію з реагування (крім "Блокувати" та "Блокувати й очистити"), щоб переглянути вкладки Зведення, Виконання, Тригери й Деталі виконання з докладними відомостями (якщо такі доступні).

У кожному розділі ви можете натиснути кнопку оновлення (), щоб оновити сторінку.

Натисніть кнопку Реагування на інцидент, щоб вибрати уражені об’єкти й налаштувати дії з реагування. Доступні такі дії: Ізолювати, Виконати вихід для користувача, Перезавантажити, Сканувати й очистити. Потім натисніть Підтвердити.

oКомп’ютери > Продовжити > виберіть дію з реагування (Ізолювати, Виконати вихід для користувача, Перезавантажити, Сканувати й очистити) > Підтвердити.

oІдентичності > Продовжити > виберіть дію з реагування

oПроцеси > Продовжити > виберіть дію з реагування (Завершити процес) > Підтвердити.

oВиконувані файли > Продовжити > виберіть дію з реагування (Заблокувати, Заблокувати й очистити) > Підтвердити.

˄˅