Таблица инцидентов с обзором всех созданных инцидентов отображается в разделе Мониторинг→Инциденты. По умолчанию в таблице отображаются инциденты, относящиеся ко всем тенантам, к которым у вас есть права доступа. При необходимости таблицу инцидентов можно настроить.
Чтобы настроить таблицу инцидентов, выполните одно из следующих действий:
Примените фильтр для тенантов:
Перейдите по ссылке рядом с параметром Фильтр тенантов.
Откроется список тенантов.
Установите флажки рядом с требуемыми тенантами.
Отфильтруйте данные таблицы алертов:
Нажмите на значок фильтра ().
На вкладке Фильтры укажите и примените критерий фильтрации в открывшемся меню.
Если вы хотите скрыть или отобразить столбец, нажмите на значок параметров () и выберите нужный столбец.
Таблица инцидентов будет настроена, и в таблице отобразятся требуемые данные.
В таблице инцидентов есть следующие столбцы:
Создан. Дата и время создания инцидента.
Продолжительность угрозы. Время между самыми ранними и самыми последними событиями среди всех алертов, связанных с инцидентом.
Время обновления. Дата и время последнего изменения в истории инцидента.
Связан с алертами. Количество алертов, включенных в инцидент.
Название. Название инцидента.
Правила. Правила, которые сработали для создания инцидента.
Затронутые активы. Устройства и пользователи, затронутые инцидентом. Если количество активов, затронутых инцидентом или вовлеченных в него, больше или равно трем, отображается количество затронутых устройств.
Тенант. Имя тенанта, у которого был обнаружен инцидент.
Исполнитель. Текущий исполнитель инцидента.
Есть родительский инцидент. Наличие у инцидента родительского инцидента. Если отображается значение Да, инцидент является дочерним инцидентом.
Статус дочерних инцидентов. Результирующий статус дочерних инцидентов первого уровня. Возможные значения: Закрыто, В обработке, Дочерних инцидентов нет.
Метод создания. Как был создан инцидент, вручную или автоматически.
Наблюдаемые объекты. Количество обнаруженных артефактов, например IP-адреса или MD5-хеши файлов. Если количество наблюдаемых объектов — три или больше, отображается количество наблюдаемых объектов.
Если требуется, можно экспортировать информацию обо всех инцидентах, которые отображаются в таблице инцидентов, в файл JSON.