Создание инцидента

Чтобы создать инцидент:

Откройте веб-интерфейс KUMA и выберите раздел Инциденты.
Нажмите Создать инцидент.
Откроется окно создания инцидента.
Заполните обязательные параметры инцидента:
- В поле Название введите название инцидента. Название должно содержать от 1 до 128 символов в кодировке Unicode.
- В раскрывающемся списке Тенант выберите тенант, которому принадлежит создаваемый инцидент.
При необходимости укажите другие параметры инцидента:
- В раскрывающемся списке Уровень важности выберите степень угрозы, которую представляет инцидент. Доступные значения: Низкий, Средний, Высокий, Критический.
- В полях Появление первого события и Появление последнего события укажите временной диапазон, в котором были получены события, относящиеся к инциденту.
- В раскрывающихся списках Категория инцидента и Тип инцидента выберите категорию и тип инцидента. Доступные типы инцидента зависят от выбранной категории.
- Добавьте Описание инцидента. Описание должно содержать не более 256 символов в кодировке Unicode.
- В раскрывающемся списке Доступные тенанты выберите тенанты, алерты которых можно будет привязывать к инциденту автоматически.
- В разделе Связанные алерты добавьте алерты, относящиеся к инциденту.
  Привязка алертов к инцидентам
  Чтобы привязать алерт к инциденту:
  1. В разделе Связанные алерты окна инцидента нажмите Привязать.
    Откроется окно со списком непривязанных к инцидентам обнаружений.
  2. Выберите требуемые алерты.
    Алерты можно искать по пользователям, активам, тенантам и корреляционным правилам с помощью регулярных выражений PCRE.
  3. Нажмите Привязать.
  Алерты связаны с инцидентом и отображаются в разделе Связанные алерты.
  
  Чтобы отвязать алерты от инцидента:
  1. Выберите нужные алерты в разделе Связанные алерты и нажмите на кнопку Отвязать.
  2. Нажмите Сохранить.
  Алерты отвязаны от инцидента. Также алерт можно отвязать от инцидента в окне алерта с помощью кнопки Отвязать.
- В разделе Связанные активы добавьте активы, относящиеся к инциденту.
  Привязка активов к инцидентам
  Чтобы привязать актив к инциденту:
  1. В разделе Связанные активы окна инцидента нажмите Привязать.
    Откроется окно со списком активов.
  2. Выберите нужные активы.
    Активы можно искать с помощью поля Поиск.
  3. Нажмите Привязать.
  Активы связаны с инцидентом и отображаются в разделе Связанные активы.
  
  Чтобы отвязать активы от инцидента:
  1. Выберите нужные активы в разделе Связанные активы и нажмите на кнопку Отвязать.
  2. Нажмите Сохранить.
  Активы отвязаны от инцидента.
- В разделе Связанные пользователи добавьте пользователей, относящихся к инциденту.
  Привязка пользователей к инцидентам
  Чтобы привязать пользователя к инциденту:
  1. В разделе Связанные пользователи окна инцидента нажмите Привязать.
    Откроется окно со списком пользователей.
  2. Выберите нужных пользователей.
    Пользователей можно искать с помощью поля Поиск.
  3. Нажмите Привязать.
  Пользователи связаны с инцидентом и отображаются в разделе Связанные пользователи.
  
  Чтобы отвязать пользователей от инцидента:
  1. Выберите нужных пользователей в разделе Связанные пользователи и нажмите на кнопку Отвязать.
  2. Нажмите Сохранить.
  Пользователи отвязаны от инцидента.
- Добавьте Комментарий к инциденту.
Нажмите Сохранить.

Инцидент создан.

В начало