Изменение статуса алерта

Развернуть все | Свернуть все

Как объект, алерт имеет статус, который показывает текущий статус алерта в его жизненном цикле.

Вы можете изменять статусы алертов для своих алертов или алертов других аналитиков, только если у вас есть право доступа для чтения и изменения алертов и инцидентов.

Если статус алерта изменен вручную, плейбуки не будут запускаться автоматически. Вы можете запустить плейбук для такого алерта вручную.

Алерт может иметь один из следующих статусов:

• Новое.

  Когда Open Single Management Platform регистрирует новый алерт, он имеет статус Новый. Вы можете изменить статус на В обработке или Закрыт. Когда вы меняете статус Новый на Закрыт и у алерта нет исполнителя, оно автоматически назначается вам.

• В обработке.

  Этот статус означает, что аналитик начал работу c алертом. Статус В обработке можно изменить на Новый и Закрыт.

• Закрыто.

  Истинно положительные алерты должны быть связаны с инцидентами и расследоваться в рамках инцидентов. Когда вы закрываете инцидент, связанные алерты также переходят в статус Закрыт. Вы закрываете несвязанный алерт только как ложное срабатывание или как алерт с низким приоритетом. Когда вы закрываете алерт, вам нужно выбрать решение.

  Статус Закрыт можно изменить только на статус Новый. Если вы хотите вернуть закрытый алерт в работу, измените его статус следующим образом: Закрыт → Новый → В обработке.

  Когда вы закрываете алерт, связанный с инцидентом, автоматически удаляется связь с инцидентом. Если алерт, который вы собираетесь закрыть, никому не назначен, он автоматически назначается аналитику, который закрывает алерт.

• В инциденте.

  Этот статус назначается алерту при привязке к инциденту. Этот статус невозможно выбрать вручную. Статус Закрыт можно назначить только привязанному алерту. Чтобы сменить этот статус на Новый или В обработке, нужно сначала отменить связь алерта с инцидентом.

Чтобы изменить статус одного или нескольких алертов:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
2. Выполните одно из следующих действий:
   • Установите флажки напротив алертов, статус которых вы хотите изменить.
   • Перейдите по ссылке с идентификатором алерта, статус которого вы хотите изменить.

     Откроется окно Детали алерта.

3. Нажмите на кнопку Изменить статус.
4. В панели Изменить статус выберите статус, который нужно установить.

   Если вы выбрали статус Закрыт, вам нужно выбрать решение.

   Если вы измените статус алерта на Закрыт и этот алерт содержит незавершенные плейбуки или действия по реагированию, все связанные плейбуки и действия по реагированию будут прекращены.

5. Нажмите на кнопку Сохранить.

Статусы выбранных алертов будут изменены.

Если алерт добавлен на граф расследования, вы также можете изменить статус алерта на графе.

Также статус алерта можно изменить с помощью плейбуков.

См. также: Об алертах Просмотр таблицы алертов Назначение алертов аналитикам

В начало