Просмотр информации об активе

Детали актива – это окно, которое содержит всю информацию, связанную с активом.

Вы можете просмотреть детали актива одним из следующих способов:

• из деталей алерта;
• из деталей инцидента;
• из деталей события (если событие содержит активы);
• Из графа расследования.

Чтобы просмотреть сведения об активе:

1. В главном окне приложения перейдите в раздел Мониторинг и выполните одно из следующих действий:
   • Если вы хотите просмотреть детали активов из деталей алерта, нажмите Алерты, а затем в столбце Идентификатор нажмите на идентификатор алерта, которое включает актив, детали которого вы хотите просмотреть. В открывшемся окне выберите вкладку Активы.
   • Если вы хотите просмотреть детали активов из деталей инцидента, нажмите Инциденты, а затем в столбце Идентификатор нажмите на идентификатор инцидента, который включает актив, детали которого вы хотите просмотреть. В открывшемся окне выберите вкладку Активы.
   • Если вы хотите просмотреть детали активов из деталей события, нажмите Поиск угроз, а затем нажмите на событие, которое содержит актив, детали которого вы хотите просмотреть.
   • Если вы хотите просмотреть детали активов из графа расследования, нажмите Инциденты, а затем в столбце Идентификатор нажмите на идентификатор инцидента, который включает актив, детали которого вы хотите просмотреть. В открывшемся окне нажмите на кнопку Посмотреть на графе. Нажмите на узел алерта и в контекстном меню выберите пункт Устройства или Пользователи.
2. Выполните одно из следующих действий:
   • Нажмите на имя требуемого актива и в раскрывающемся списке выберите Просмотреть свойства.
   • На графе расследования нажмите на узел актива, а затем в контекстном меню выберите пункт Просмотреть информацию.

Отображается окно с деталями актива.

В окне сведений об активе можно переключаться между вкладками Общие и Правила запрета.

Вкладка Общие

Вкладка Общая содержит следующие разделы:

• Свойства актива – информация об активе, например название актива, идентификатор и тенант, которому принадлежит актив.

  Если действующая лицензия в KUMA включает AI-модуль, отображается поле AI-оценка и оценка актива. Это поле показывает степень нетипичной активности актива и может принимать значения в диапазоне от 0 до 1, где 0 – это ожидаемое поведение, 1 – это неожиданное поведение для актива в рамках инфраструктуры. Если приложение Kaspersky Endpoint Security со встроенным агентом установлено на активе (устройстве), отображается поле Статус изоляции. Вы можете просмотреть и изменить состояние сетевой изоляции устройства, перейдя по ссылке Параметры рядом со статусом.

• Категории – информация о категориях, связанных с активом.
• Пользовательские поля – поля активов, которые вы создали в Консоли KUMA.
• Установленное программное обеспечение – информация о программном обеспечении, установленном на активе.
• KSC: уязвимости – уязвимости актива, если есть. Эта информация доступна для активов, импортированных из Kaspersky Security Center.
• Приложения "Лаборатории Касперского" – информация о приложениях "Лаборатории Касперского", установленных на активе.
• Состояние защиты устройства – статус актива; возможны следующие значения: OK, Критический, Предупреждение. Эта информация доступна для активов, импортированных из Kaspersky Security Center.
• KICS for Networks: свойства активов – информация об активе. Эта информация импортируется из KICS for Networks.
• KICS for Networks: уязвимости – уязвимости актива, если есть. Эта информация доступна для активов, импортированных из KICS for Networks.

Вы можете расширить разделы, нажав на значки () рядом с их названиями.

В панели инструментов вы можете выполнить следующие действия:

• Изменить информацию об активе, нажав на кнопку Изменить.
• Запустить действие по реагированию, нажав на кнопку Реагирование, а затем выбрав действие по реагированию из раскрывающегося списка.
• Назначить категорию активу, нажав на кнопку Привязать к категории.
• Перейти в раздел История реагирований, раздел Поиск угроз, в список связанных алертов или список связанных инцидентов, нажав на кнопку Открыть в и выбрав в раскрывающемся списке, куда вы хотите перейти.

  В разделе История реагирования события в разделе Поиск угроз предупреждения и инциденты будут отфильтрованы по активу, данные которого вы переместили.

• Подключиться к активам с помощью удаленного терминала. Для этого нажмите на кнопку Открыть удаленный терминал.
• Экспортировать информацию об активах в CSV-файл, нажав на кнопку Экспортировать в CSV.

Вкладка правил запрета

Вкладка содержит таблицу правил запрета, примененных к устройству.

Таблица отображается с одним из следующих статусов: Применено, Применяется или Ошибка.

Для просмотра правил запрета в этой группе у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Администратор SOC, Менеджер SOC, Аналитик 1-го уровня, Аналитик 2-го уровня, Младший аналитик, Подтверждающий, Аудитор.

В таблице присутствуют все столбцы, которые описаны в статье Добавление и удаление правил запрета.

Вы можете просматривать и менять параметры правил запрета. Для этого откройте сведения о правиле предотвращения, перейдя по ссылке с названием правила в столбце Имя. Откроется панель Изменить правило запрета, на которой будет выбрана вкладкой Подробнее. Вы можете изменить параметры правила запрета, как описано в пункте 3 статьи Добавление и удаление правил запрета.

Кроме того, вы можете нажать на кнопку Перейти в Поиск угроз, чтобы просмотреть события, полученные при срабатывании правила запрета. На закладке Журнал событий вы можете просмотреть все изменения правила запрета.

Чтобы открыть сведения о правиле запрета, у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Аналитик 1-го уровня, Аналитик 2-го уровня.
Если правило запрета принадлежит родительскому тенанту, к которому у вас не доступа, вы не сможете изменить правило запрета.

В начало