Как объект, инцидент имеет статус, который показывает текущее состояние инцидента в его жизненном цикле.
Вы можете изменять статус для своих инцидентов или инцидентов других аналитиков, только если у вас есть право доступа для чтения и изменения алертов и инцидентов.
При изменении статуса инцидент и все неназначенные связанные алерты автоматически назначаются вам.
Если статус инцидента изменен вручную, плейбуки не будут запускаться автоматически. Вы можете запустить плейбук для такого инцидента вручную.
Когда вы создаете инцидент или он создается автоматически, инцидент имеет статус Новый. Вы можете изменить статус на В обработке или Закрыт. Когда вы меняете статус Новый на Закрыт и у инцидента нет исполнителя, он автоматически назначается вам.
Этот статус означает, что аналитик начал работу над инцидентом или возобновил работу, изменив статус Отложен. Изменить статус В обработке можно на любой другой.
Этот статус означает, что аналитик приостановил работу над инцидентом. Обычно вы меняете статус Отложен на В обработке, когда работа возобновляется, но также можно изменить статус Отложен на другие статусы.
Вы закрываете инциденты, когда не требуется никакой дополнительной работы над инцидентом. Вы можете закрыть инцидент, по которому принято одно из следующих решений:
Верное срабатывание.
Ложное срабатывание.
Низкий приоритет.
При закрытии инцидента, связанные алерты также получают статус Закрыт и наследуют решение инцидента. Если у инцидента нет исполнителя, закрытый инцидент автоматически назначается вам. Если закрытый инцидент имеет неназначенные связанные алерты, эти алерты автоматически назначаются вам.
Статус Закрыт можно изменить только на статус Новый. Если вы хотите вернуть закрытый инцидент в работу, измените его статус следующим образом: Закрыт→Новый→В обработке.
Чтобы изменить статус одного или нескольких инцидентов:
В главном окне приложения перейдите в раздел Мониторинг→Инциденты.
Выполните одно из следующих действий:
Установите флажки напротив инцидентов, которым требуется изменить статус.
Перейдите по ссылке с идентификатором инцидента, статус которого вы хотите изменить.
Откроется окно Детали инцидента.
Нажмите на кнопку Изменить статус.
В панели Изменить статус выберите статус, который нужно установить.
Если выбран статус Закрыто, необходимо выбрать решение.
Если для инцидента была нарушена хотя бы одна метрика SLA, при закрытии инцидента отображается поле Причины нарушения SLA. В этом поле нужно указать причину нарушения SLA.
Если при изменении статуса Закрыто в рабочем процессе инцидента был установлен флажок Разрешить закрывать только этот инцидент только пользователям с определенными разрешениями, для закрытия инцидента необходима роль XDR Главный администратор или Подтверждающий.
Если вы измените статус инцидента на Закрыт и этот инцидент содержит незавершенные плейбуки или действия по реагированию, все связанные плейбуки и действия по реагированию будут прекращены.
Нажмите на кнопку Сохранить.
Статусы выбранных инцидентов будут изменены.
Статус инцидента также можно изменить с помощью плейбуков.