Вам может потребоваться отменить связь между алертом и инцидентом, например, если при анализе и расследовании алерта выяснилось, что он не связан с другими алертами в инциденте. При отмене связи между алертом и инцидентом, Kaspersky EDR Expert выполняет следующие действия:
Обновляет все данные инцидента с учетом того, что алерт больше не относится к инциденту. Например, вы можете просмотреть изменения в информации об инциденте.
Устанавливает статус Новый для несвязанных алертов.
Вы можете отменить связь алертов с инцидентами в таблице алертов или в разделе информации об инциденте.
Отмена связи алертов с инцидентами в таблице алертов
Чтобы отменить связь между алертом и инцидентом:
В главном меню выберите Мониторинг и отчеты→Алерты.
Если в Kaspersky Security Center Cloud Console интегрированы как Kaspersky EDR Optimum, так и Kaspersky EDR Expert, раздел Алерты имеет две вкладки. Перейдите на вкладку Expert. В противном случае, пропустите этот шаг.
Установите флажки напротив алертов, для которых требуется отменить связь с инцидентами.
Нажмите кнопку Удалить связь с инцидентом.
Откроется окно Удалить связь алертов.
При необходимости введите комментарий. Вы можете указать причину отмены связи с алертами. Комментарий будет добавлен в раздел Комментарии в деталях алерта.
При необходимости измените ответственного за алерты, связь с которыми вы отменили.
Нажмите на кнопку Сохранить.
Выбранные алерты больше не будут связаны с инцидентами.
Отмена связи алертов с инцидентами в разделе информации об инциденте
Чтобы отменить связь между алертом и инцидентом:
В главном меню выберите Мониторинг и отчеты→Инциденты.
В таблице инцидентов нажмите на идентификатор инцидента, для которого требуется отменить связь с алертами.
Откроется окно с информацией об инциденте.
В разделе Алерты установите флажки напротив алертов, для которых требуется отменить связь с инцидентом.
Нажмите кнопку Удалить связь с инцидентом.
Выбранные алерты больше не будут связаны с инцидентом.