Об инцидентах

Развернуть все | Свернуть все

Инцидент – это контейнер обнаружений, который обычно указывает на проблему в ИТ-инфраструктуре организации. Инцидент может содержать одно или несколько обнаружений. Используя инциденты, аналитики могут исследовать несколько обнаружений как одну проблему.

Вы можете создавать инциденты вручную или включить правила автоматического создания инцидентов. После создания инцидента вы можете связать обнаружения с ним. Вы можете связать с инцидентом до 200 обнаружений.

После создания инцидентов Kaspersky Single Management Platform добавляет их в таблицу инцидентов как объекты, которые должны быть обработаны аналитиками.

Инциденты можно назначить только аналитикам, имеющим право на чтение и изменение обнаружений и инцидентов.

Вы можете управлять инцидентами как объектами, используя следующие свойства инцидента:

• Статус инцидента.

  Возможные значения: Новый, В обработке, Отложен или Закрыт.

  Статус инцидента показывает текущее состояние инцидента в его жизненном цикле. Вы можете изменить статус по своему усмотрению, за исключением следующих случаев:

  • Статус Новый невозможно изменить на статус Отложен.
  • Статус Закрыт можно изменить только на статус Новый.
• Уровень важности инцидента.

  Возможные значения: Низкий, Средний или Критичный.

  Уровень важности инцидента показывает, какое влияние этот инцидент может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского". Уровень важности инцидента соответствует наивысшей степени критичности связанных обнаружений и не может быть изменена вручную.

• Приоритет инцидента.

  Возможные значения: Низкий, Средний, Высокий или Критичный.

  Приоритет инцидентов определяет порядок, в котором инциденты должны расследоваться аналитиками. Инциденты с приоритетом Критический являются наиболее важными и должны быть расследованы в первую очередь. Вы можете изменить приоритет инцидента вручную.

• Исполнитель инцидента.

  Владелец инцидента, аналитик, который отвечает за расследование и обработку инцидента. Вы можете изменить исполнителя инцидента в любое время.

Два или более инцидента могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае вы можете объединить инциденты, чтобы исследовать их как единую проблему.

У каждого инцидента есть свойства инцидента, которые предоставляют всю информацию, связанную с инцидентом. Вы можете использовать эту информацию для расследования инцидента или объединения инцидентов.

См. также: Создание инцидентов Просмотр таблицы инцидентов Просмотр сведений об инциденте Назначение инцидентов аналитикам Изменение статуса инцидента Изменение приоритета инцидента Объединение инцидентов Об обнаружениях Связь обнаружений с инцидентами Удаление связи обнаружений с инцидентами

В начало