Связь обнаружений с инцидентами

Вы можете связать одно или несколько обнаружений с инцидентом, по следующим причинам:

• Несколько обнаружений можно интерпретировать как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае обнаружения в инциденте можно исследовать как отдельную проблему. Вы можете связать с инцидентом до 200 обнаружений.
• Одно обнаружение может быть связано с инцидентом, если оно определено как истинно положительное.

Вы можете связать обнаружение с инцидентом, если оно имеет любой статус отличный от Закрыто. Обнаружение теряет свой текущий статус и приобретает статус В инциденте при связывании с инцидентом. Если вы связываете обнаружения, которые в настоящее время связаны с другими инцидентами, удаляется связь обнаружения с текущими инцидентами, так как обнаружение может быть связано только с одним инцидентом.

Обнаружения могут быть связаны с инцидентом вручную или автоматически.

Связывание обнаружений вручную

Чтобы связать обнаружения с существующим или новым инцидентом:

1. В главном окне программы перейдите в раздел Мониторинг и отчеты → Обнаружения.
2. Если в Kaspersky Security Center Cloud Console интегрированы и Kaspersky EDR Optimum, и Kaspersky Single Management Platform, раздел Обнаружения разделен на вкладки. Перейдите на вкладку Expert. В противном случае пропустите этот шаг.
3. Установите флажки рядом с событиями, которые требуется связать с инцидентом.
4. Если вы хотите связать обнаружения с существующим инцидентом:
   1. Нажмите на кнопку Связать с инцидентом.
   2. Выберите инцидент, с которым нужно связать обнаружения.
5. Если вы хотите связать обнаружения с новым инцидентом:
   1. Нажмите на кнопку Создать инцидент.
   2. Заполните свойства нового инцидента: имя, исполнитель и приоритет.
6. Нажмите на кнопку Сохранить.

Выбранные обнаружения связаны с существующим или новым инцидентом.

Автоматическая привязка обнаружений

Kaspersky Single Management Platform имеет встроенные правила для автоматической привязки обнаружений к инцидентам. По умолчанию эти правила выключены. Вы можете включить их для упрощения обработки недавно зарегистрированных обнаружений. Вы можете включить или выключить сразу все правила.

Правила автоматического создания инцидентов:

• Правило 1. Связывание нового обнаружения с существующим инцидентом.

  Kaspersky Single Management Platform связывает новое обнаружение с существующим инцидентом, если хотя бы один из следующих параметров обнаружения совпадает с таким же параметром в инциденте:

  • Любое из наблюдаемого объекта (MD5-хеш, URL, IP-адрес, доменное имя).

    Параметр MD5-хеш срабатывает, только если с момента последнего обновления инцидента до времени регистрации обнаружения прошло менее 30 дней. Для параметров REST (URL, IP-адрес, доменное имя) этот временной интервал должен быть меньше двух дней.

  • Идентификатор устройства из списка затронутых активов.

    Этот параметр срабатывает, только если с момента последнего обновления инцидента до времени регистрации обнаружения прошло менее одного часа.

  • Сработавшее IOC-правило.

    Этот параметр срабатывает, только если с момента последнего обновления инцидента до времени регистрации обнаружения прошло менее одного часа.

  Другие условия, которые должны быть выполнены для срабатывания правила:

  • Инцидент должен содержать менее 200 обнаружений.
  • Статус инцидента не равен статусу Закрыт.
• Правило 2. Создание инцидента из обнаружений на том же устройстве.

  При регистрации нового обнаружения Kaspersky Single Management Platform проверяет выполнение всех следующих условий:

  • Новое зарегистрированное обнаружение и одно или несколько обнаружений в таблице обнаружений имеют одинаковый идентификатор устройства.
  • Зарегистрированные обнаружения с таким же идентификатором устройства должны иметь статус Новое.
  • Зарегистрированные обнаружения с таким же идентификатором устройства были зарегистрированы в течение 30 минут до нового зарегистрированного обнаружения.

  Если условия соблюдены, Kaspersky Single Management Platform создает инцидент и связывает новые и найденные обнаружения с новым инцидентом.

• Правило 3. Создание инцидента из одного обнаружения.

  Kaspersky Single Management Platform создает инцидент и связывает вновь зарегистрированное обнаружение с инцидентом, если выполняются следующие условия:

  • Обнаружение было зарегистрировано в результате срабатывания IOC-правила.
  • Не сработало ни правило 1, ни правило 2 автоматического создания инцидентов.

Чтобы включить правила автоматического создания инцидентов:

1. Перейдите в раздел Настройки консоли → Интеграция.

   Откроется окно Параметры консоли.

2. На вкладке Интеграция выберите раздел Kaspersky Single Management Platform.
3. Перейдите по ссылке Параметры рядом с параметром Создание инцидента.

   Откроется окно Создание инцидента.

4. Выберите параметр Включить правила для автоматического создания инцидентов.
5. Нажмите на кнопку ОК.

Правила автоматического создания инцидентов включены.

См. также: Об обнаружениях Просмотр таблицы обнаружений Удаление связи обнаружений с инцидентами Об инцидентах

В начало