Список событий содержит данные о событиях. Вы также можете перейти к окну с информацией о событии. В окне с информацией о событии приведены все сведения о событии.
Чтобы просмотреть информацию о событии:
В главном меню перейдите в раздел Мониторинг и отчеты→Поиск угроз, а затем выполните запрос.
Щелкните по строке таблицы, содержащей требуемое событие.
Откроется окно с подробной информацией о событии.
При щелчке по значению в разделе с информацией о событии или в таблице событий открывается контекстное меню со списком действий. Для каждого значения доступны следующие действия:
Скопировать значение в буфер обмена.
Добавить или удалить столбец из списка событий.
Добавить значение в запрос.
Список событий будет отфильтрован по этому значению.
Удалить значение из запроса.
Фильтрация событий по этому полю выполняться не будет.
Создать запрос с указанным значением.
Кроме того, для объектов типа SID (идентификатор безопасности), UserName (имя пользователя), IP-адрес, MD5, веб-адрес, домен доступны следующие действия:
При переходе по этой ссылке открывается список алертов, связанных со значением выбранного поля события. Список алертов открывается на разделе Алерты.
Чтобы просмотреть список связанных алертов:
Перейдите в раздел Мониторинг и отчеты→Поиск угроз и выполните запрос.
Откройте раздел с информацией о событии и нажмите на требуемое значение, чтобы открыть контекстное меню.
Контекстное меню также можно открыть, щелкнув значение в таблице событий.
В контекстном меню выбранного значения нажмите на кнопку Перейти к связанным алертам.
Отобразится список связанных алертов.
Просмотр связанных алертов доступен только для объектов с типами данных SID (идентификатор безопасности), UserName (имя пользователя), IP-адрес, MD5, веб-адрес, домен.
При переходе по этой ссылке открывается список инцидентов, связанных со значением выбранного поля события. Список инцидентов открывается на разделе Инциденты.
Чтобы просмотреть список связанных инцидентов:
Перейдите в раздел Мониторинг и отчеты→Поиск угроз и выполните запрос.
Откройте раздел с информацией о событии и нажмите на требуемое значение, чтобы открыть контекстное меню.
Контекстное меню также можно открыть, щелкнув значение в таблице событий.
В контекстном меню выбранного значения нажмите на кнопку Перейти к связанным инцидентам.
Отобразится список связанных инцидентов.
Просмотр связанных инцидентов доступен только для объектов с типами данных SID (идентификатор безопасности), UserName (имя пользователя), IP-адрес, MD5, веб-адрес, домен.
Поле enrich.hunts.names содержит названия IOA-правил, срабатывание которых произошло из-за возникновения события. При переходе по ссылке в этом поле открывается окно с подробной информацией о сработавшем пользовательском правиле.
Правило, содержащее описание подозрительной активности в системе, которая может являться признаком целевой атаки.
Из раздела с информацией о событии можно перейти к дереву событий, нажав на соответствующую кнопку.
Дерево событий представляет собой граф, содержащий информацию о связанных событиях.