Связь алертов с инцидентами

Вы можете связать алерты с инцидентом, например, по следующим причинам:

• Несколько алертов могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае алерты в инциденте можно расследовать как единую проблему. К инциденту можно привязать до 200 алертов.
• Одиночный алерт можно связать с инцидентом, если он является верным срабатыванием.

алерт можно связать с инцидентом, если он имеет любой статус, кроме статуса Закрыт. При связывании с инцидентом алерт меняет свой текущий статус на специальный статус – Связан с инцидентом. При привязке к выбранному инциденту алертов, связанных с другими инцидентами, происходит отмена связи алертов с этими инцидентами, поскольку алерт может быть связан только с одним инцидентом.

Алерты можно связать с инцидентом вручную или автоматически.

Связь алертов вручную

Чтобы связать алерты с существующим или новым инцидентом:

1. В главном меню выберите Мониторинг и отчеты → Алерты.
2. Если в Kaspersky Security Center Cloud Console интегрированы как Kaspersky EDR Optimum, так и Kaspersky EDR Expert, раздел Алерты разделен на вкладки. Перейдите на вкладку Expert. В противном случае, пропустите этот шаг.
3. Установите флажки рядом с алертами, которые вы хотите связать с инцидентом.
4. Чтобы связать алерты с существующим инцидентом:
   1. Нажмите на кнопку Связать с инцидентом.
   2. Выберите инцидент, с которым требуется связать алерты.
5. Чтобы связать алерты с новым инцидентом:
   1. Нажмите на кнопку Создать инцидент.
   2. Укажите свойства нового инцидента: имя, ответственного и приоритет.
6. Нажмите на кнопку Сохранить.

Выбранные алерты будут связаны с существующим или новым инцидентом.

Связь алертов автоматически

В Kaspersky EDR Expert есть встроенные правила для автоматической связи алертов с инцидентами. По умолчанию эти правила отключены. Вы можете включить их, чтобы обрабатывать недавно зарегистрированные алерты. Можно включать или отключать только все правила сразу.

Правила автоматического создания инцидентов:

• Правило 1. Связь нового алерта с существующим инцидентом

  Kaspersky EDR Expert связывает новый алерт с существующим инцидентом, если хотя бы один из следующих параметров алерта совпадает с соответствующим параметром инцидента:

  • Любое из наблюдаемых объектов (хеш MD5, веб-адрес, IP-адрес, доменное имя).

    Параметр хеш MD5 приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации алерта прошло менее 30 дней. Для остальных параметров (веб-адрес, IP-адрес, доменное имя) этот промежуток времени не должен превышать двух дней.

  • Идентификатор устройства из списка затронутых активов.

    Этот параметр приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации алерта прошло менее одного часа.

  • Сработавшее правило IOC.

    Этот параметр приводит к срабатыванию правила, только если с момента последнего обновления инцидента до момента регистрации алерта прошло менее одного часа.

  Другие условия, которые должны выполняться для срабатывания правила:

  • Инцидент должен содержать не более 200 алертов.
  • Статус инцидента отличен от Закрыт.
• Правило 2. Создание инцидента из алертов на том же устройстве

  При регистрации нового алерта Kaspersky EDR Expert проверяет одновременное выполнение следующих условий:

  • Новый зарегистрированный алерт и алерты в таблице алертов имеют одинаковый идентификатор устройства.
  • Найденные алерты с совпадающим идентификатором устройства имеют статус Новый.
  • Найденные алерты с совпадающим идентификатором устройства были зарегистрированы в течение 30 минут до нового зарегистрированного алерта.

  Если выполнены эти условия, Kaspersky EDR Expert создает инцидент и связывает новые и найденные алерты с новым инцидентом.

• Правило 3. Создание инцидента из отдельного алерта

  Kaspersky EDR Expert создает инцидент и связывает с ним новое зарегистрированное алерт, если выполняются следующие условия:

  • Алерт был зарегистрирован в результате срабатывания правила IOC.
  • Не сработало ни Правило 1, ни Правило 2 для автоматического создания инцидентов.

Чтобы включить правила автоматического создания инцидентов:

1. Перейдите в раздел Параметры консоли → Интеграция.

   Откроется окно Параметры консоли.

2. На вкладке Интеграция выберите раздел Kaspersky EDR Expert.
3. Нажмите на ссылку Параметры рядом с параметром Создание инцидента.

   Откроется окно Создание инцидента.

4. Выберите параметр Включить правила автоматического создания инцидентов.
5. Нажмите на кнопку OK.

Правила автоматического создания инцидентов будут включены.

См. также: Об алертах Просмотр таблицы алертов Отмена связи алертов с инцидентами Об инцидентах

В начало