Інциденти

Інциденти дають нам змогу зіставляти виявлені об’єкти з інцидентами. Завдяки цьому розслідування загроз значно вдосконалилися. Інциденти створюються автоматично на основі виявлених об’єктів, тому вам не потрібно переглядати багато об’єктів, що значно скорочує час сортування сповіщень.

У розділі Інциденти перелічено інциденти, автоматично створені на основі виявлених об’єктів за попередньо визначеними правилами.

Фільтрування елементів, що відображаються

Існують різні способи фільтрування.

•Його можна відфільтрувати за допомогою селектора тегів (піктограми стрілки) і вибрати теги, щоб активувати фільтр для перелічених інцидентів. Результати показують інциденти з вибраними тегами (виділені синім кольором).

•Можна виконати фільтрацію за рівнем серйозності інциденту: Висока, Середня або Низька. Ви можете налаштувати комбінацію цих піктограм, вмикаючи або вимикаючи їх.

•Ви можете фільтрувати за статусом інциденту: Відкритий (), Розглядається () або Закритий ().

•Натисніть Додати фільтр і виберіть типи інцидентів у розкривному меню.

oУповноважений — введіть ім’я відповідальної особи.

oАвтор — виберіть у розкривному меню: ESET, ESET Service або ім’я користувача.

oЧас створення — виберіть у розкривному меню один із таких варіантів: < 24 год, ≥ 24 год тому, ≥ 3 дні тому, ≥ 7 днів тому, ≥ 14 днів тому, ≥ місяць тому, ≥ 3 місяці тому, ≥ 6 місяців тому.

oОстаннє оновлення — виберіть у розкривному меню один із таких варіантів: < 24 год, ≥ 24 год тому, ≥ 3 дні тому, ≥ 7 днів тому, ≥ 14 днів тому, ≥ місяць тому, ≥ 3 місяці тому, ≥ 6 місяців тому.

oІм’я — введіть ім’я інциденту.

oКількість комп’ютерів — введіть кількість вибраних комп’ютерів.

oКількість виявлених об’єктів — введіть кількість вибраних виявлених об’єктів.

Налаштування фільтрів і макетів

Ви можете налаштувати поточний вигляд екрана веб-консолі.

•Керуйте бічною панеллю й основною таблицею.

•Додавайте фільтри та їхні заготовки. Ви можете використовувати теги для фільтрування відображуваних елементів.

Відомості про інцидент

Виберіть інциденти, натисніть кнопку Дії, а потім — кнопку з трьома крапками . Доступні дії:

•Переглянути деталі — щоб відобразити огляд інциденту.

Огляд — надає наступну інформацію:

oШвидкі подробиці — деталі про інцидент, які відображаються в основному розділі.

oВплив на компанію — кількість уражених комп’ютерів, виконуваних файлів і процесів. Натисніть число, щоб перейти на відповідну сторінку.

oКоментарі — можна додати коментар до інциденту. Натисніть Переглянути всі коментарі, щоб відобразити всі створені коментарі. Ви можете відредагувати, закріпити або видалити коментар.

oОпис — пояснення інциденту.

oРекомендовані кроки — кроки, які потрібно виконати, щоб розпочати процес реагування на інциденти.

Виявлені об’єкти: Список виявлених об’єктів Можна натиснути піктограму з трьома крапками (), щоб переглянути докладні відомості.

Уражені комп’ютери: список комп’ютерів, які зазнали впливу інциденту.

Часова шкала інцидентів: хронологія з короткою історією інцидентів (від події, що спричинила інцидент, до закриття інциденту).

 

Натисніть кнопку Реагування на інцидент, щоб вибрати уражені об’єкти й налаштувати дії з реагування. Доступні такі дії: Ізолювати, Виконати вихід для користувача, Перезавантажити, Сканувати й очистити. Потім натисніть Підтвердити.

oКомп’ютери > Продовжити > виберіть дію з реагування (Ізолювати, Виконати вихід для користувача, Перезавантажити, Сканувати й очистити) > Підтвердити.

oПроцеси > Продовжити > виберіть дію з реагування (Завершити процес) > Підтвердити.

oВиконувані файли > Продовжити > виберіть дію з реагування (Заблокувати, Заблокувати й очистити) > Підтвердити.

•Зміна статусу й отримувача: натисніть, щоб вибрати статус і вповноважену особу в розкривному меню. Натисніть Зберегти.

•Теги: натисніть цю кнопку, щоб вибрати теги з розкривного меню, і клацніть Застосувати. Або ви можете ввести нове ключове слово й натиснути клавішу Enter, щоб створити новий тег.

˄˅