Просмотр таблицы инцидентов

Таблица инцидентов с обзором всех созданных инцидентов отображается в разделе Мониторинг → Инциденты. По умолчанию в таблице отображаются инциденты, относящиеся ко всем тенантам, к которым у вас есть права доступа. При необходимости таблицу инцидентов можно настроить.

Чтобы настроить таблицу инцидентов, выполните одно из следующих действий:

• Примените фильтр для тенантов:
  1. Перейдите по ссылке рядом с параметром Фильтр тенантов.

     Откроется список тенантов.

  2. Установите флажки рядом с требуемыми тенантами.
• Отфильтруйте данные таблицы алертов:
  1. Нажмите на значок фильтра ().
  2. На вкладке Фильтры укажите и примените критерий фильтрации в открывшемся меню.
• Если вы хотите скрыть или отобразить столбец, нажмите на значок параметров () и выберите нужный столбец.

Таблица инцидентов будет настроена, и в таблице отобразятся требуемые данные.

В таблице инцидентов есть следующие столбцы:

• Создан. Дата и время создания инцидента.
• Продолжительность угрозы. Время между самыми ранними и самыми последними событиями среди всех алертов, связанных с инцидентом.
• Время обновления. Дата и время последнего изменения в истории инцидента.
• ID инцидента. Уникальный идентификатор инцидента.
• Статус. Текущий статус инцидента.
• Время на рассмотрение. Срок рассмотрения инцидента в днях, часах и минутах.
• Время, использованное на ответ. Срок первоначального реагирования на инцидент в днях, часах и минутах.
• Время на разрешение. Срок разрешения инцидента в днях, часах и минутах.
• Статус изменен. Дата и время изменения статуса инцидента.
• Важность. Уровень важности инцидента.
• Приоритет. Приоритет инцидента.
• Связан с алертами. Количество алертов, включенных в инцидент.
• Название. Название инцидента.
• Правила. Правила, которые сработали для создания инцидента.
• Затронутые активы. Устройства и пользователи, затронутые инцидентом. Если количество активов, затронутых инцидентом или вовлеченных в него, больше или равно трем, отображается количество затронутых устройств.
• Тенант. Имя тенанта, у которого был обнаружен инцидент.
• Исполнитель. Текущий исполнитель инцидента.
• Есть родительский инцидент. Наличие у инцидента родительского инцидента. Если отображается значение Да, инцидент является дочерним инцидентом.
• Статус дочерних инцидентов. Результирующий статус дочерних инцидентов первого уровня. Возможные значения: Закрыто, В обработке, Дочерних инцидентов нет.

• Метод создания. Как был создан инцидент, вручную или автоматически.
• Наблюдаемые объекты. Количество обнаруженных артефактов, например IP-адреса или MD5-хеши файлов. Если количество наблюдаемых объектов — три или больше, отображается количество наблюдаемых объектов.

Если требуется, можно экспортировать информацию обо всех инцидентах, которые отображаются в таблице инцидентов, в файл JSON.

См. также: Об инцидентах Создание инцидентов Назначение инцидентов аналитикам Изменение статуса инцидента Изменение приоритета инцидента Объединение инцидентов

В начало