Граф расследования

Граф расследования – это инструмент визуального анализа, который показывает связь между следующими объектами:

События
Алерты
Пользователи
Наблюдаемые объекты
Активы (Устройства)
Правила сегментации

На графе отображается подробная информация об инциденте: соответствующие алерты и их общие свойства.

Чтобы открыть граф расследования:

В главном окне приложения перейдите в раздел Мониторинг → Инциденты.
В таблице инцидентов нажмите на идентификатор требуемого инцидента.
Откроется окно со сведениями об инциденте.
Нажмите на кнопку Посмотреть на графе.

Для просмотра графа требуется право на Запись в функциональной области Алерты и инциденты. Дополнительную информацию см. в следующих разделах: Предопределенные роли пользователей.

Вы можете использовать панорамное отображение и масштабирование в правом нижнем углу для навигации по сложному графу.

Кроме того, на графе расследования можно отменить любое действие нажатием на значок отмены (), а также повторить ранее отмененное действие нажатием на значок повтора (). Глубина отмены и повтора составляет 10 действий.

Закрытие графа расследования во время выполнения действий в нем приводит к сбросу вашей истории изменений. Это значит, что после того, как вы снова откроете граф расследования, вы не сможете отменять и повторять действия, которые выполнялись перед закрытием графа.

При редактировании графа расследования одновременно с другими пользователями вы можете просматривать изменения, внесенные другими пользователями, но не можете отменять и повторять их действия.

Режим отображения

Граф расследования предусматривает два режима отображения: автоматический, когда узлы графа отображаются на временной шкале, и ручной. По умолчанию выбран автоматический режим.

Временная шкала отображается в нижней части экрана, на которой графически показаны объекты, составляющие контекст инцидента, время появления этих объектов и весь период, в течение которого они наблюдались.

Левая граница шкалы представляет собой конец периода: самое раннее событие из всех алертов, включенных в инцидент, или из самого раннего алерта. Правая граница шкалы представляет собой конец периода: самое позднее событие из всех алертов, включенных в инцидент, или из самого позднего алерта.

Полный период рассчитывается автоматически после анализа всех алертов в инциденте. При добавлении нового объекта на граф расследования, при удалении объекта или при генерации дерева процессов временная шкала автоматически перестраивается.

Цена деления шкалы ( $\\hqaitfe\Data\Images\XDR$ ) зависит от общей продолжительности периода. Для просмотра способа расчета интервала нажмите на эту ссылку.

В автоматическом режиме расположение узлов на графе расследования зависит от даты и времени обнаружения соответствующих объектов и определяется следующим образом:

Активы размещаются в начале шкалы.
Алерты размещаются в соответствии со временем их создания.
События размещаются в соответствии с их отметками времени.
Наблюдаемые объекты размещаются в зависимости от способа добавления в граф расследования:
- при добавлении через узел алерта наблюдаемый объект размещается в соответствии со временем создания оповещения;
- при добавлении через узел события наблюдаемый объект размещается в соответствии с меткой времени события.
Для наблюдаемых объектов используется время и дата тех алертов или событий, с которыми они связаны.

При наведении курсора мыши на узел отображаются дата и время создания узла.

Точки, в которых размещаются алерты или события на графе, соответствуют столбикам ( Элемент unloc_graph_columnar ) на шкале. При наведении курсора мыши на столбик отображается информация о алертах и событиях, которые были одновременно обнаружены в инциденте.

Автоматический режим предполагает следующие ограничения:

Невозможно перемещать узлы графа.
Связи, созданные вручную, не отображаются.
Если у одного объекта несколько связей (например, один наблюдаемый объект связан с несколькими алертами), на графе отображается только связь, исходящая от самого старого объекта (с самым ранним временем создания).
Невозможно вручную добавлять объекты, не относящиеся к автоматически определенному контексту инцидента.
Новые объекты можно добавлять только через контекстное меню тех объектов, которые уже отображаются (события и наблюдаемые объекты, связанные с алертом, или алерты и наблюдаемые объекты, связанные с событием). После переключения в ручной режим объект, добавленный в автоматическом режиме, размещается в непосредственной близости от того узла, с которым он связан. Если объект связан с несколькими узлами, он размещается в непосредственной близости от узла с самой поздней меткой времени.

Режимы графа расследования можно переключать нажатием на значок. В ручном режиме шкала времени не отображается, а узлы можно перемещать.

Если в ручном режиме отображения добавляется объект, у которого нет метки времени, то после переключения в автоматический режим этот объект отображаться не будет.

Взаимодействие с узлами графа

Вы можете использовать панель инструментов вверху, чтобы добавлять алерты и наблюдаемые объекты.

Вы можете нажать и перетащить узлы графа, чтобы переставить их.

Вы можете нажать на узел графа, чтобы открыть контекстное меню.

Общие пункты контекстного меню:

Просмотреть информацию
Открывает окно свойств выбранного узла.
Копировать
Копирует значение узла в буфер обмена.
Скрыть
Удаляет выбранный узел из графа.
Добавить комментарий/Изменить комментарий
Вызывает текстовое поле для комментария. Чтобы подтвердить изменения, нажмите Отправить. Чтобы отменить изменения, нажмите Отмена.

Пункты контекстного меню, специфичные для событий:

Дерево процесса

Доступно только для определенных типов событий. Создает дерево процессов для события. Индикация события синим цветом указывает на то, что вы можете сгенерировать дерево процессов для этого события.

Пункты контекстного меню, специфичные для алертов:

Изменить статус
Вызывает панель Изменения статуса, которая позволяет изменить статус алерта.
События
Меню добавления событий в качестве узлов графа.
Наблюдаемые объекты
Меню, которое позволяет добавлять общие наблюдаемые объекты в качестве узлов графа.
Устройства
Меню, которое позволяет добавлять общие устройства в качестве узлов графа.

Используя это меню, вы также можете просмотреть список алертов или инцидентов, связанных с устройством. Для этого в этом меню необходимо выбрать Просмотреть информацию, чтобы открыть окно Информация об устройстве, затем нажать на кнопку Показать связанные и выбрать Алерты или Инциденты.
Пользователи
Меню добавления пользователей в качестве узлов графа.

Пункты контекстного меню, специфичные для наблюдаемых объектов:

Найти похожие события
Вызывает панель Поиск угроз, на которой отображаются похожие события.
Найти похожие алерты
Вызывает панель Алерты, на которой отображаются похожие алерты.
Запросить статусы Kaspersky TIP
Позволяет вам получать подробную информацию о выбранном наблюдаемом объекте в Kaspersky Threat Intelligence Portal (Kaspersky TIP). Подробные сведения приведены в разделе Интеграция с Kaspersky Threat Intelligence Portal.
Обогатить данные Kaspersky TIP
Используйте эту кнопку, чтобы получить подробную информацию о выбранном наблюдаемом объекте в Kaspersky TIP. Подробные сведения приведены в разделе Интеграция с Kaspersky Threat Intelligence Portal.

Правила сегментации, специфичные для объектов:

Изменить в KUMA
Открывает в новой вкладке браузера консоль KUMA, в которой отображаются сведения о правиле.
Найти похожие алерты
Вызывает панель Алерты, на которой отображаются похожие алерты.

Вы также можете добавить наблюдаемые объекты, нажав на алерт или событие. Для этого в открывшемся контекстном меню необходимо выбрать пункт Наблюдаемые объекты и нажать на наблюдаемый объект. Наблюдаемый объект будет добавлен на граф расследования. При необходимости вы можете удалить наблюдаемый объект с графа расследования. Для этого необходимо нажать на наблюдаемый объект и в открывшемся контекстном меню выбрать пункт Скрыть.

Группировка элементов графа

Граф расследования автоматически группирует алерты с общими параметрами.

Чтобы разгруппировать алерт:

Нажмите на элемент графа, соответствующий группе алертов.
Отобразится таблица со списком алертов.
Выберите алерт, который вы хотите отобразить на графе.
Нажмите на кнопку Показать на графе на панели инструментов таблицы.
Алерт добавлен в виде узла графа.
Чтобы скрыть алерт, нажмите на кнопку Скрыть на графе.

Связывание элементов графа

На графе расследования при необходимости автоматически создаются связи для новых элементов. Связи можно добавлять вручную.

Чтобы добавить связь вручную:

Нажмите на кнопку Связать с узлом.
Вокруг узлов графа появятся точки привязки.
Нажмите на элемент и перетащите его от точки привязки одного узла к точке привязки другого узла.

Связи, созданные вручную, имеют цветовую индикацию.

Удаление связи, созданной вручную:

Наведите указатель мыши на связь, созданную вручную.
В середине связи появится значок крестика.
Нажмите на крестик, чтобы удалить связь.

Поиск угроз

Вы можете анализировать события для поиска угроз и уязвимостей, которые не были обнаружены автоматически. Для этого необходимо нажать на кнопку Поиск угроз на панели инструментов вверху или вызвать контекстное меню узла графа и выбрать пункты События или Найти похожие события. Откроется панель Поиск угроз. Дополнительную информацию см. в разделе: Поиск угроз.

Экспорт графа

Вы можете сохранить граф в формате SVG. Для этого необходимо нажать на кнопку Экспортировать в панели инструментов вверху.

Просмотр и редактирование комментариев

Теперь любой узел графа или связь можно снабдить комментарием.

Чтобы добавить или отредактировать комментарий, выполните действия в следующем порядке:

Нажмите на элемент графа и выберите Добавить комментарий или Изменить комментарий.
Нажмите на кнопку Сохранить, чтобы сохранить изменения.
Рядом с элементом графа появляется значок сообщения (). По нажатию на значок сообщения () открывается комментарий.

Чтобы показать все комментарии,

нажмите на кнопку Комментарии на верхней панели инструментов. Справа откроется панель с комментариями. По нажатию на комментарий на этой панели выделяется соответствующий значок сообщения () на графе. На панели можно оставлять комментарии к графу в целом.

Чтобы удалить комментарий,

выберите комментарий на графе или на панели комментариев. Нажмите на значок многоточия ( многоточие ) и выберите команду Удалить.

В начало

Если весь период...	то цена деления...
больше или равен 1 году	1 год
больше или равен 28 дням, но меньше 1 года	1 месяц
больше или равен 1 неделе, но меньше 28 дней	7 дней
больше или равен 24 часам, но меньше 1 недели	24 часа
больше или равен 1 часу, но меньше 24 часов	1 час
больше или равен 10 минутам, но меньше 1 часа	5 минут
от 100 секунд до 10 минут	1 минута
от 1 секунды до 1,6 минут	10 seconds
менее 1 секунды	100 миллисекунд