Просмотр информации об инциденте
Информация об инциденте – это страница в интерфейсе, содержащая всю информацию, относящуюся к инциденту, включая свойства инцидента.
Чтобы просмотреть информацию об инциденте, выполните следующие действия:
- В главном меню выберите МОНИТОРИНГ И ОТЧЕТЫ → Инциденты.
- В таблице инцидентов нажмите на идентификатор требуемого инцидента.
Откроется окно с информацией об инциденте.
Панель инструментов в верхней части раздела информации об инциденте позволяет выполнять следующие действия:
- Назначить инцидент аналитику
- Изменить статус инцидента
- Связать обнаружения с инцидентом
- Объединить инцидент с другими инцидентами
В информации об инциденте содержатся следующие разделы:
- Общая информация
Раздел общей информации содержит следующие свойства инцидента:
- Уровень важности. Возможные значения: Низкий, Средний, Высокий. Уровень важности инцидента показывает, какое влияние этот инцидент может оказать на безопасность компьютеров и корпоративной локальной сети на основе опыта "Лаборатории Касперского".
- Приоритет: Низкий, Средний, Высокий, Критический. Приоритет инцидентов определяет порядок расследования инцидентов. Инциденты с приоритетом Критический – самые срочные, их необходимо расследовать в первую очередь. Вы можете изменить приоритет, нажав на его текущее значение.
- Название инцидента. Название, указанное при создании инцидента. Вы можете изменить название инцидента.
- Способ создания. Как был создан инцидент: вручную или автоматически.
- Правила. Правила IOC или правила IOA, сработавшие для связанных обнаружений.
- Создан. Дата и время создания инцидента.
- Обновлен. Дата и время последнего изменения в истории инцидента.
- Первое событие. Дата и время возникновения первого события, связанного с инцидентом. Это самое раннее событие в разделе Сведения информации об обнаружении среди всех обнаружений, связанных с инцидентом.
- Последнее событие. Дата и время возникновения последнего события, связанного с инцидентом. Это последнее событие в разделе Сведения информации об обнаружении среди всех обнаружений, связанных с инцидентом.
- Технология. Технологии, выявившие обнаружения, связанные с инцидентом.
- Источник обнаружения. Программа, получившая данные телеметрии.
- Тактика MITRE. Тактики, выявленные в обнаружениях, связанных с инцидентом. Тактики определены в базе знаний MITRE ATT&CK.
- Техника MITRE. Техники, выявленные в обнаружениях, связанных с инцидентом. Техники определены в базе знаний MITRE ATT&CK.
- Имя и идентификатор устройства. Имена и идентификаторы устройств, затронутых инцидентом. По нажатию на значок с многоточием рядом с именем или идентификатором устройства можно открыть контекстное меню устройства. Это меню используется для получения дополнительных сведений об устройстве, например, для просмотра свойств устройства или поиска по имени или идентификатору устройства в разделе Поиск угроз.
- Имя и идентификатор безопасности пользователя. Имена и идентификаторы безопасности пользователей, устройства или учетные записи которых были затронуты инцидентом. По нажатию на значок с многоточием рядом с именем или идентификатором безопасности пользователя можно открыть контекстное меню пользователя. Это меню используется для получения дополнительных сведений об учетной записи пользователя, например, для поиска по имени или идентификатору безопасности пользователя в разделе Поиск угроз.
- Похожие инциденты
В разделе Похожие инциденты можно просмотреть список инцидентов, которые затрагивали те же артефакты, что и текущий инцидент. Затронутые артефакты включают наблюдаемые значения и затронутые устройства обнаружений, связанных с инцидентом. Список содержит инциденты, имеющие любой статус.
Этот список позволит оценить степень сходства текущего инцидента с другими инцидентами. Сходство рассчитывается следующим образом:
Сходство = M / T * 100
Где M – это количество совпадающих артефактов в текущем и сравниваемом инциденте, а T – это общее количество артефактов в текущем инциденте.
Если сходство составляет 100%, текущий инцидент полностью совпадает со сравниваемым инцидентом. Если сходство составляет 0%, текущий и сравниваемый инциденты полностью различаются. Инциденты со сходством, равным 0%, не включаются в список.
Рассчитанное значение округляется до ближайшего целого числа. Если сходство составляет от 0% до 1%, это значение не округляется до 0%. В этом случае отображается значение "менее 1%".
По щелчку на идентификаторе инцидента открывается информация об инциденте.
Настройка списка похожих инцидентов
Вы можете настроить таблицу, выполнив следующие действия:
- Отфильтруйте инциденты, выбрав период, в течение которого были обновлены инциденты. По умолчанию список содержит инциденты, обновленные за последние 30 дней.
- Щелкните значок Настройка столбцов (
) и выберите, какие столбцы и в каком порядке будут отображаться. - Щелкните значок Фильтр (
) и выберите и настройте фильтры, которые требуется применить. Если вы выбрали несколько фильтров, они применяются одновременно, как объединенные логическим оператором И. - Щелкните по заголовку столбца и выберите параметры сортировки. Вы можете отсортировать инциденты в порядке возрастания или убывания.
- Обнаружения
В разделе Обнаружения можно просмотреть список обнаружений, связанных с текущим инцидентом.
По щелчку на идентификаторе обнаружения открывается информация об обнаружении. Вы также можете использовать кнопки на панели инструментов, чтобы отменить связь обнаружений с инцидентом или назначить обнаружения себе.
- Активы
В разделе Активы можно просмотреть устройства и пользователей, затронутых инцидентом или участвующих в нем.
Щелкнув по имени пользователя или устройства, можно выполнить следующие действия:
- Выполнить поиск по имени пользователя или идентификатору устройства в разделе Поиск угроз за последние 24 часа.
- Выполнить поиск по имени пользователя или идентификатору устройства среди других обнаружений.
- Выполнить поиск по имени пользователя или идентификатору устройства среди других инцидентов.
- Скопировать имя пользователя или устройства в буфер обмена.
Вы также можете щелкнуть по имени устройства, чтобы перейти к свойствам устройства.
Щелкнув по идентификатору безопасности пользователя или идентификатору устройства, можно выполнить следующие действия:
- Выполнить поиск по идентификатору безопасности пользователя или идентификатору устройства в разделе Поиск угроз за последние 24 часа.
- Выполнить поиск по идентификатору безопасности пользователя или идентификатору устройства среди других обнаружений.
- Выполнить поиск по идентификатору безопасности пользователя или идентификатору устройства среди других инцидентов.
- Скопировать идентификатор безопасности пользователя или идентификатор устройства в буфер обмена.
Вы также можете щелкнуть по идентификатору устройства, чтобы перейти к свойствам устройства.
- Наблюдаемые значения
В разделе Наблюдаемые значения можно просмотреть наблюдаемые значения, относящиеся к обнаружениям, связанным с текущим инцидентом. Наблюдаемые значения могут включать:
- MD5-хеш
- IP-адрес
- Веб-адрес
- Имя домена
Щелкнув по ссылке в столбцах Значение или Данные, можно выполнить следующие действия:
- Выполнить поиск наблюдаемого значения или данных в разделе Поиск угроз за последние 24 часа.
- Выполнить поиск наблюдаемого значения на Kaspersky Threat Intelligence Portal (открывается на новой закладке браузера).
- Выполнить поиск наблюдаемого значения или данных среди других обнаружений.
- Выполнить поиск наблюдаемого значения или данных среди других инцидентов.
- Скопировать наблюдаемое значение или данные в буфер обмена.
- История
В разделе История можно отслеживать следующие изменения инцидента как рабочего элемента:
- Изменение статуса инцидента
- Смена ответственного за инцидент
- Связь обнаружения с инцидентом
- Отмена связи обнаружения с инцидентом
- Объединение инцидента с другими инцидентами
|
См. также: Назначение инцидентов аналитикам |