В основной части раздела Инциденты отображается таблица с информацией о зарегистрированных инцидентах. При необходимости вы можете изменить набор столбцов и порядок их отображения в таблице.
В правом верхнем углу таблицы инцидентов нажмите на значок .
Откроется окно настройки таблицы.
Установите флажки напротив тех параметров, которые требуется отображать в таблице.
Когда вы устанавливаете флажок, таблица событий обновляется и добавляется новый столбец. При снятии флажка столбец исчезает.
С помощью поля Поиск можно искать параметры таблицы.
При нажатии на кнопку По умолчанию для отображения выбираются следующие столбцы:
Название.
Длительность инцидента.
Назначен.
Создано.
Тенант.
Статус.
Количество обнаружений.
Уровень важности.
Категории затронутых активов.
При необходимости измените порядок отображения столбцов, перетащив заголовки столбцов.
Чтобы отсортировать инциденты по определенному параметру, нажмите на заголовок нужного столбца и в раскрывающемся списке выберите один из вариантов: По возрастанию или По убыванию.
Чтобы отфильтровать инциденты по определенному параметру, нажмите на заголовок нужного столбца и в раскрывающемся списке выберите требуемые фильтры. Набор фильтров, доступный в раскрывающемся списке, зависит от выбранного столбца.
Чтобы снять фильтры, нажмите на заголовок нужного столбца и выберите Очистить фильтр.
Доступные столбцы таблицы инцидентов:
Название – название инцидента.
Длительность инцидента – время, на протяжении которого происходил инцидент (время между первым и последним событием, относящимся к инциденту).
Назначен – имя сотрудника службы безопасности, которому инцидент передан для расследования или реагирования.
Создан – дата и время создания инцидента. С помощью этого столбца инциденты можно фильтровать по времени их создания.
Доступны преднастроенные периоды: Сегодня, Вчера, На этой неделе, На прошлой неделе.
При необходимости можно задать произвольный период с помощью календаря, который открывается при выборе пунктов До даты, После даты, В течение периода.
Тенант – название тенанта, которому принадлежит инцидент.
Статус – текущее состояние инцидента:
Открыт – новый, еще не обработанный инцидент.
Назначен – инцидент обработан и передан сотруднику службы безопасности для расследования или реагирования.
Закрыт – инцидент закрыт, угроза безопасности устранена.
Количество алертов – количество алертов, входящих в инцидент. Учитываются только алерты тех тенантов, к которым у вас есть доступ.
Уровень важности –степень значимости потенциальной угрозы безопасности: Критический , Высокий , Средний , Низкий .
Категории затронутых активов – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
Последнее обновление – дата и время последнего изменения, сделанного в инциденте.
Первое событие и Последнее событие – дата и время первого и последнего события в инциденте.
Экспорт в НКЦКИ – статус экспорта данных об инциденте в НКЦКИ:
Не экспортировался – данные не передавались в НКЦКИ.
Ошибка экспорта – попытка передать данные в НКЦКИ завершилась ошибкой, данные не переданы.
Экспортирован – данные об инциденте успешно переданы в НКЦКИ.
Ветвь – данные о том, в каком узле был создан инцидент. По умолчанию отображаются инциденты вашего узла. Этот столбец отображается только при включенном режиме иерархии.
КИИ – указание на то, относятся ли к инциденту активы, являющиеся объектами КИИ. Столбец скрыт от пользователей, не имеющих прав доступа к объектам КИИ.
В поле Поиск можно ввести регулярное выражение для поиска инцидентов по связанным с ними активами, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:
Активы: название, FQDN, IP-адрес.
Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
Корреляционные правила: название.
Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
Тенанты: название.
При фильтрации инцидентов по какому-либо параметру соответствующий столбец в таблице инцидентов подсвечивается желтым цветом.