Об обнаружениях

Развернуть все | Свернуть все

Обнаружение – это событие в ИТ-инфраструктуре организации, которое было отмечено Kaspersky Single Management Platform как необычное или подозрительное и которое может представлять угрозу безопасности ИТ-инфраструктуры организации.

Kaspersky Single Management Platform формирует обнаружение, когда EPP-программа (например, Kaspersky Endpoint Security для Windows) обнаруживает в инфраструктуре определенную активность, соответствующую условиям, заданным в правилах обнаружения.

Вы можете создать обнаружение вручную из набора событий.

Все обнаружения делятся на следующие типы: IOC (Indicator of Compromise) и IOA (Indicator of Attack).

После детектирования Kaspersky Single Management Platform добавляет обнаружения в таблицу обнаружений как объекты, которые должны быть обработаны аналитиками. Вы не можете удалить обнаружения. Их можно только закрыть.

Обнаружения могут быть назначены только аналитикам, имеющим право читать и изменять обнаружения и инциденты.

Вы можете управлять обнаружениями как объектами, используя следующие свойства обнаружений:

• Статус обнаружения.

  Возможные значения: Новый, В обработке, Закрыто или В инциденте.

  Статус обнаружения показывает текущий статус обнаружения в его жизненном цикле. Вы можете изменить статус по своему усмотрению, за исключением следующих случаев:

  • Вы не можете вернуть закрытые обнаружения в статус В обработке. Закрытые обнаружения можно вернуть только в статус Новый, а затем статус можно изменить на В обработке.
  • Вы не можете установить статус В инциденте вручную. Обнаружения получают этот статус, когда они связаны с инцидентом.
  • Вы можете установить статус Закрыто только для связанного обнаружения. Чтобы установить статус Новое или В обработке, необходимо отменить связь между обнаружением и инцидентом.
• Уровень важности обнаружения.

  Возможные значения: Низкий, Средний, Высокий или Критичный.

  Уровень важности обнаружения показывает, какое влияние это обнаружение может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского". Уровень важности определяется автоматически и не может быть изменен вручную. Критичность IOA-обнаружения соответствует наивысшему уровню критичности сработавших IOA-правил, связанных с обнаружением. Все IOC-обнаружения имеют высокий уровень критичности.

• Ответственный за обнаружение.

  Владелец обнаружения, аналитик, который отвечает за расследование обнаружения. Вы можете изменить ответственного за обнаружение в любое время. Невозможно изменить исполнителя закрытых обнаружений.

Вы можете комбинировать и связывать обнаружения с более крупными рабочими объектами, называемыми инцидентами. Вы можете связать обнаружения с инцидентами вручную или включить правила для автоматического создания инцидентов и связывания обнаружений. Используя инциденты, аналитики могут исследовать несколько обнаружений как одну проблему. Когда вы связываете обнаружение, ни с чем не связанное в текущий момент, с инцидентом, обнаружение приобретает статус В инциденте. Вы можете связать обнаружение, ни с чем не связанное в текущий момент, с другим инцидентом. В этом случае статус обнаружения сохраняется. Вы можете связать с инцидентом не более 200 обнаружений.

Каждое обнаружение содержит сведения об обнаружении, которые содержат всю информацию, относящуюся к обнаружению. Вы можете использовать эту информацию для исследования обнаружения, отслеживания событий, предшествующих обнаружению, просмотра артефактов обнаружения, затронутых активов или для привязки обнаружения к инциденту.

См. также: О типах обнаружений Просмотр таблицы обнаружений Просмотр сведений об обнаружении Назначение обнаружений аналитикам Изменение статуса обнаружения Связь обнаружений с инцидентами Удаление связи обнаружений с инцидентами Об инцидентах

В начало