Инцидент – это контейнер алертов, который обычно указывает на реально существующую проблему в ИТ-инфраструктуре организации. Инцидент может содержать одно или несколько алертов. Инциденты позволяют аналитикам исследовать несколько алертов в виде единой проблемы.
Возможные значения: Новый, В работе, Удерживается, Закрыт.
Статус инцидента показывает текущее состояние инцидента в его жизненном цикле. Вы можете изменить статус по своему усмотрению, однако имеются следующие исключения:
Уровень важности инцидента показывает, какое влияние этот инцидент может оказать на безопасность компьютеров и корпоративной локальной сети на основе опыта "Лаборатории Касперского". Уровень важности инцидента соответствует наивысшему уровню важности связанных алертов и не может быть изменен вручную.
Приоритет инцидентов определяет порядок расследования инцидентов аналитиками. Инциденты с приоритетом Критический – самые срочные, их необходимо расследовать в первую очередь. Приоритет инцидента можно изменить вручную.
Аналитик, которому назначен инцидент и который отвечает за его расследование и обработку. Вы можете изменить ответственного за инцидент в любое время, если для параметра Статус не задано значение Закрыт.
Несколько инцидентов могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае можно объединить инциденты и расследовать их как единую проблему.
Для каждого инцидента есть раздел информации об инциденте, содержащий все сведения, относящиеся к инциденту. Вы можете использовать эту информацию для расследования инцидента и для объединения инцидентов.