Таблица алертов отображается в разделе Мониторинг→Alerts и предоставляет обзор всех алертов, зарегистрированных в Open Single Management Platform. По умолчанию в таблице отображаются алерты, относящиеся ко всем тенантам, к которым у вас есть права доступа. При необходимости таблицу алертов можно настроить.
Чтобы настроить таблицу алертов, выполните одно из следующих действий:
Примените фильтр для тенантов:
Перейдите по ссылке рядом с параметром Фильтр тенантов.
Откроется список тенантов.
Установите флажки рядом с требуемыми тенантами.
Отфильтруйте данные таблицы алертов одним из следующих методов:
Использование основного фильтра:
Нажмите на значок фильтра ().
На вкладке Фильтры укажите и примените критерий фильтрации в открывшемся меню.
Фильтрация повторно проверенных алертов:
Нажмите на заголовок столбца Имя.
Установите флажок Только повторно проверенные алерты или Исключить повторно проверенные алерты.
Использование контекстного фильтра ячейки для быстрого добавления нового условия фильтра:
Найдите ячейку, содержащую значение, которое требуется добавить в качестве условия фильтра. Обратите внимание, что в ячейках некоторых столбцах нет контекстного фильтра.
Нажмите на значение в ячейке.
В открывшемся списке выберите одно из следующих действий:
Добавить в фильтр, чтобы добавить значение в условие фильтра.
Исключить из фильтра, чтобы исключить значение из условий фильтрации.
Копировать, чтобы скопировать значение в буфер обмена.
Если вы хотите скрыть или отобразить столбец, нажмите на значок параметров () и выберите нужный столбец.
Таблица алертов будет настроена и в ней отобразятся требуемые данные.
Тенант. Имя тенанта, в котором зарегистрирован алерт.
Технологии. Названия модулей или компонентов, сгенерировавших алерт при проверке.
Возможные значения в этом столбце:
AM (Anti-Malware Engine)
YARA
SB (Sandbox)
IOA
IOC
Сведения. Краткая информация об алерте.
Обнаружено. Одна или несколько категорий обнаруженных объектов. Например, если Kaspersky EDR Expert обнаружил файл, зараженный вирусом Trojan-Downloader.JS.Cryptoload.ad, в поле Обнаружено для этого обнаружения будет указана категория Trojan-Downloader.JS.Cryptoload.ad.
Правила. IOC- или IOA-правила, сработавшие для регистрации алерта.
Затронутые активы. Устройства и пользователи, затронутые алертом.
Количество активов. Общее количество затронутых активов.
Свойства события. Артефакты обнаружения, например IP-адреса или MD5-хеши файлов.
Количество наблюдаемых объектов. Общее количество обнаруженных артефактов.
Тип ссылки инцидента. Способ добавления алерта в инцидент.
Важность. Важность алерта.
Имя. Название алерта.
Статус изменен. Дата и время последнего изменения статуса алерта.
Особенности агрегации событий в алертах, инициированных правилами IOA
Если Kaspersky EDR Expert создал предупреждение, инициированное правилом IOA, и то же правило IOA выполняется другими событиями на том же или другом хосте в тот же день, Kaspersky EDR Expert агрегирует эти события в одном алерте. Если алерт уже закрыт, Kaspersky EDR Expert откроет его повторно. Период агрегации событий заканчивается в 00:00 на следующий день.