Об инцидентах

Развернуть все | Свернуть все

Инцидент – это контейнер алертов, который обычно указывает на реально существующую проблему в ИТ-инфраструктуре организации. Инцидент может содержать одно или несколько алертов. Инциденты позволяют аналитикам исследовать несколько алертов в виде единой проблемы.

Инциденты можно создавать вручную или включить правила автоматического создания инцидентов. После создания инцидента с ним можно связать алерты. К инциденту можно привязать не более 200 алертов.

После создания Kaspersky EDR Expert добавляет инциденты в таблицу инцидентов как рабочие элементы, которые должны обрабатываться аналитиками.

Инциденты могут быть назначены только аналитикам, имеющим право на чтение и изменение алертов и инцидентов.

Вы можете управлять инцидентами как рабочими элементами, используя следующие их свойства:

Несколько инцидентов могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае можно объединить инциденты и расследовать их как единую проблему.

Для каждого инцидента есть раздел информации об инциденте, содержащий все сведения, относящиеся к инциденту. Вы можете использовать эту информацию для расследования инцидента и для объединения инцидентов.

См. также:

Создание инцидентов

Просмотр таблицы инцидентов

Просмотр информации об инциденте

Назначение инцидентов аналитикам

Изменение статуса инцидента

Изменение приоритета инцидента

Объединение инцидентов

Об алертах

Связь алертов с инцидентами

Отмена связи алертов с инцидентами

В начало