Алерт – это событие в ИТ-инфраструктуре организации, отмеченное решением Kaspersky EDR Expert как необычное или подозрительное и, возможно, представляющее угрозу безопасности для ИТ-инфраструктуры организации.
Kaspersky EDR Expert формирует алерты, когда EPP-программа (например, Kaspersky Endpoint Security для Windows) обнаруживает в инфраструктуре определенную активность, соответствующую условиям, заданным в правилах алерта. Алерт всегда регистрируется и создается автоматически, его нельзя создать вручную.
Существуют следующие типы алертов: IOC (индикаторы компрометации) и IOA (индикаторы атак).
Kaspersky EDR Expert добавляет алерты в таблицу алертов как рабочие элементы, которые должны обрабатываться аналитиками. Алерты нельзя удалять, их можно только закрыть.
Алерты могут быть назначены только аналитикам, имеющим право на чтение и изменение алертов и инцидентов.
Вы можете управлять алертами как рабочими элементами, используя следующие их свойства:
Алерты можно объединять и связывать с более крупными рабочими элементами – инцидентами. Вы можете связать алерты с инцидентами вручную или включить правила для автоматического создания инцидентов и привязки к ним алертов. Инциденты позволяют аналитикам исследовать несколько алертов в виде единой проблемы. Когда вы связываете текущий несвязанный алерт с инцидентом, он меняет свой текущий статус на статус Связан с инцидентом. Вы можете связать текущий связанный алерт с другим инцидентом. В этом случае алерт сохраняет статус Связан с инцидентом. К инциденту можно привязать до 200 алертов.
Для каждого алерта есть раздел Детали алерта, содержащий все сведения, относящиеся к алерту. Вы можете использовать эту информацию для расследования алерта, отслеживания событий, предшествующих алерту, просмотра артефактов алерта, затронутых активов, а также для связи алерта с инцидентом.