Просмотр инцидентов от дочерних узлов
Если режим иерархии включен, вы можете просмотреть инциденты, созданные на дочерних узлах и их потомках, в разделе Инциденты. В таблице инцидентов отображается столбец Ветвь, с помощью которого можно фильтровать инциденты по узлам, в которых они были созданы. По умолчанию в таблице инцидентов отображаются инциденты, созданные на вашем узле.
Чтобы выбрать узлы, инциденты которых вы хотите просмотреть:
- Откройте в веб-интерфейсе KUMA раздел Инциденты.
- Нажмите на заголовок столбца Ветвь и в открывшемся окне нажмите на значок
.В правой части окна отобразится область деталей с иерархической структурой организаций. С помощью кнопки
можно раскрыть или скрыть все ветви структуры, а также выбрать все узлы KUMA. - Выберите требуемые узлы и нажмите Сохранить.
В таблице инцидентов отображаются инциденты, созданные на выбранных вами узлах.
При нажатии на инцидент открывается окно с подробными данными об инциденте. Данные доступны только для чтения, инцидент с другого узла невозможно изменить или обработать.
Особенности просмотра данных об инциденте, созданном на другом узле:
- Раздел окна инцидента Связанные алерты содержит сведения, только если на дочернем узле настроена передача в родительский узел данных об относящихся к инцидентам алертах.
При нажатии на название относящегося к инциденту алерта открывается окно с подробными данными об этом алерте. Эти данные также доступны только для чтения, алерт другого узла невозможно изменить или обработать.
- Раздел Связанные события в окне алерта, относящегося к инциденту другого узла, содержит сведения, только если на дочернем узле настроена передача в родительский узел данных об относящихся к инцидентам событиях.
В этом случае с помощью кнопки Найти в событиях можно открывать таблицу событий и искать нужные события. При этом вы не можете выбрать хранилище, а на SQL-запросы налагаются ограничения поиска событий в режиме расследование алерта. В этом режиме действует обогащение данных (например, с помощью Kaspersky Threat Intelligence Portal, Kaspersky CyberTrace или Active Directory). На родительских узлах недоступны результаты обогащения данными Kaspersky Threat Intelligence Portal, сделанные на дочерних узлах.