Kaspersky Unified Monitoring and Analysis Platform

О таблице инцидентов

В основной части раздела Инциденты отображается таблица с информацией о зарегистрированных инцидентах. При необходимости вы можете изменить набор столбцов и порядок их отображения в таблице.

Как настроить таблицу инцидентов

Доступные столбцы таблицы инцидентов:

  • Название – название инцидента.
  • Длительность инцидента – время, на протяжении которого происходил инцидент (время между первым и последним событием, относящимся к инциденту).
  • Назначен – имя сотрудника службы безопасности, которому инцидент передан для расследования или реагирования.
  • Создан – дата и время создания инцидента. С помощью этого столбца инциденты можно фильтровать по времени их создания.
    • Доступны преднастроенные периоды: Сегодня, Вчера, На этой неделе, На прошлой неделе.
    • При необходимости можно задать произвольный период с помощью календаря, который открывается при выборе пунктов До даты, После даты, В течение периода.
  • Тенант – название тенанта, которому принадлежит инцидент.
  • Статус – текущее состояние инцидента:
    • Открыт – новый, еще не обработанный инцидент.
    • Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
    • Закрыт – инцидент закрыт, угроза безопасности устранена.
  • Количество алертов – количество алертов, входящих в инцидент. Учитываются только алерты тех тенантов, к которым у вас есть доступ.
  • Уровень важности степень значимости потенциальной угрозы безопасности: Критический priority-critical, Высокий priority-high, Средний priority-medium, Низкий priority-low.
  • Категории затронутых активов – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
  • Последнее обновление – дата и время последнего изменения, сделанного в инциденте.
  • Первое событие и Последнее событие – дата и время первого и последнего события в инциденте.
  • Категория инцидента и Тип инцидентакатегория и тип угрозы, присвоенные инциденту.
  • Экспорт в НКЦКИ – статус экспорта данных об инциденте в НКЦКИ:
    • Не экспортировался – данные не передавались в НКЦКИ.
    • Ошибка экспорта – попытка передать данные в НКЦКИ завершилась ошибкой, данные не переданы.
    • Экспортирован – данные об инциденте успешно переданы в НКЦКИ.
  • Ветвь – данные о том, в каком узле был создан инцидент. По умолчанию отображаются инциденты вашего узла. Этот столбец отображается только при включенном режиме иерархии.
  • КИИ – указание на то, относятся ли к инциденту активы, являющиеся объектами КИИ. Столбец скрыт от пользователей, не имеющих прав доступа к объектам КИИ.

В поле Поиск можно ввести регулярное выражение для поиска инцидентов по связанным с ними активами, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:

  • Активы: название, FQDN, IP-адрес.
  • Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
  • Корреляционные правила: название.
  • Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
  • Тенанты: название.

При фильтрации инцидентов по какому-либо параметру соответствующий столбец в таблице инцидентов подсвечивается желтым цветом.