Просмотр таблицы алертов

Таблица алертов отображается в разделе Мониторинг → Alerts и предоставляет обзор всех алертов, зарегистрированных в Open Single Management Platform. По умолчанию в таблице отображаются алерты, относящиеся ко всем тенантам, к которым у вас есть права доступа. При необходимости таблицу алертов можно настроить.

Чтобы настроить таблицу алертов, выполните одно из следующих действий:

• Примените фильтр для тенантов:
  1. Перейдите по ссылке рядом с параметром Фильтр тенантов.

     Откроется список тенантов.

  2. Установите флажки рядом с требуемыми тенантами.
• Отфильтруйте данные таблицы алертов одним из следующих методов:
  • Использование основного фильтра:
    1. Нажмите на значок фильтра ().
    2. На вкладке Фильтры укажите и примените критерий фильтрации в открывшемся меню.
  • Фильтрация повторно проверенных алертов:
    1. Нажмите на заголовок столбца Имя.
    2. Установите флажок Только повторно проверенные алерты или Исключить повторно проверенные алерты.
  • Использование контекстного фильтра ячейки для быстрого добавления нового условия фильтра:
    1. Найдите ячейку, содержащую значение, которое требуется добавить в качестве условия фильтра. Обратите внимание, что в ячейках некоторых столбцах нет контекстного фильтра.
    2. Нажмите на значение в ячейке.
    3. В открывшемся списке выберите одно из следующих действий:
       • Добавить в фильтр, чтобы добавить значение в условие фильтра.
       • Исключить из фильтра, чтобы исключить значение из условий фильтрации.
       • Копировать, чтобы скопировать значение в буфер обмена.
• Если вы хотите скрыть или отобразить столбец, нажмите на значок параметров () и выберите нужный столбец.

Таблица алертов будет настроена и в ней отобразятся требуемые данные.

В таблице алертов есть следующие столбцы:

• Идентификатор алерта. Уникальный идентификатор алерта.
• Зарегистрировано. Дата и время, когда алерт был добавлен в таблицу алертов.
• Обновлено. Дата и время последнего изменения в истории алертов.
• Статус. Текущий статус алерта.
• Назначено. Текущий исполнитель алерта.
• Тенант. Имя тенанта, в котором зарегистрирован алерт.
• Технологии. Названия модулей или компонентов, сгенерировавших алерт при проверке.

  Возможные значения в этом столбце:

  • AM (Anti-Malware Engine)
  • YARA
  • SB (Sandbox)
  • IOA
  • IOC
• Сведения. Краткая информация об алерте.
• Обнаружено. Одна или несколько категорий обнаруженных объектов. Например, если Kaspersky EDR Expert обнаружил файл, зараженный вирусом Trojan-Downloader.JS.Cryptoload.ad, в поле Обнаружено для этого обнаружения будет указана категория Trojan-Downloader.JS.Cryptoload.ad.
• Правила. IOC- или IOA-правила, сработавшие для регистрации алерта.
• Затронутые активы. Устройства и пользователи, затронутые алертом.
• Количество активов. Общее количество затронутых активов.
• Свойства события. Артефакты обнаружения, например IP-адреса или MD5-хеши файлов.
• Количество наблюдаемых объектов. Общее количество обнаруженных артефактов.
• Тип ссылки инцидента. Способ добавления алерта в инцидент.
• Важность. Важность алерта.
• Имя. Название алерта.
• Статус изменен. Дата и время последнего изменения статуса алерта.

Особенности агрегации событий в алертах, инициированных правилами IOA

Если Kaspersky EDR Expert создал предупреждение, инициированное правилом IOA, и то же правило IOA выполняется другими событиями на том же или другом хосте в тот же день, Kaspersky EDR Expert агрегирует эти события в одном алерте. Если алерт уже закрыт, Kaspersky EDR Expert откроет его повторно. Период агрегации событий заканчивается в 00:00 на следующий день.

См. также: Об алертах Просмотр деталей алерта Назначение алертов аналитикам Изменение статуса алерта Связь алертов с инцидентами Удаление связи алертов с инцидентами

В начало