Просмотр истории реагирования

Раздел История реагирований позволяет просматривать подробную историю реагирования для всех обнаруженных алертов и инцидентов. Обратите внимание, что при удалении алерта или инцидента история реагирования для этого алерта или инцидента не отображается.

Чтобы просмотреть историю действия по реагированию, вам должна быть присвоена: Главный администратор, Аналитик 1-го уровня, Аналитик 2-го уровня, Менеджер SOC, Подтверждающий, Аудитор, Администратор тенанта.

Чтобы просмотреть историю реагирования, в главном меню перейдите в раздел Мониторинг и отчеты → История реагирований. Откроется таблица с историей реагирования на все алерты и инциденты.

По умолчанию таблица сортируется в соответствии с временем запуска плейбука или действия по реагированию. Действия по реагированию в плейбуках упорядочены в соответствии с их порядком в алгоритме плейбука.

Панель инструментов в верхней части таблицы позволяет группировать и фильтровать данные в таблице следующим образом:

• Нажмите на значок параметров () и выберите столбцы для отображения в таблице.
• Нажмите на значок фильтрации (), укажите и примените критерий фильтрации в открывшемся меню.

  Если вы применяете фильтр для столбца Статус действия, таблица отображает вручную запущенные действия по реагированию, статус которых содержит выбранное значение, и плейбуки, которые включают действия по реагированию, статус которых содержит выбранное значение. В этом случае будут отображаться только те действия по реагированию плейбука, которые соответствуют критерию фильтра.

Поиск по таблице доступен по всем столбцам, кроме Статус действия и Статус плейбука. Чтобы отфильтровать данные в этих столбцах, нажмите на заголовок столбца и выберите нужный статус в раскрывающемся списке.

Таблица содержит следующие столбцы:

• Действия. Название действия по реагированию или плейбука.
• Параметры реагирования. Параметры действия по реагированию, указанные в действии по реагированию или алгоритме плейбука.
• Начало. Дата и время запуска плейбука или действия по реагированию.
• Конец. Дата и время завершения плейбука или действия по реагированию.
• ID алерта или инцидента. Идентификатор, содержащий ссылку на детали алерта или инцидента.
• Запущено. Имя пользователя, запустившего плейбук или действие по реагированию.
• Статус действия. Статус выполнения действия по реагированию. В этом столбце могут отображаться следующие значения:
  • Ожидание подтверждения – действие по реагированию ожидает подтверждения для запуска.
  • В обработке – действие по реагированию выполняется.
  • Успешно – действие по реагированию завершено без ошибок или предупреждений.
  • Предупреждение – действие по реагированию завершено с предупреждениями.
  • Ошибка – действие по реагированию завершено с ошибками.
  • Прервано – действие по реагированию завершено, так как пользователь прервал выполнение.
  • Истекло время подтверждения – действие по реагированию завершено, так как время подтверждения для запуска истекло.
  • Отклонено – действие по реагированию завершено, так как пользователь отклонил запуск.
• Статус плейбука. Статус выполнения плейбука. В этом столбце могут отображаться следующие значения:
  • Ожидание подтверждения – плейбук ожидает подтверждения для запуска.
  • В обработке – плейбук выполняется.
  • Успешно – плейбук завершен без ошибок или предупреждений.
  • Предупреждение – плейбук завершен с предупреждениями.
  • Ошибка – плейбук завершен с ошибками.
  • Прервано – плейбук завершен, так как пользователь прервал выполнение.
  • Истекло время подтверждения – плейбук завершен, так как время для подтверждения запуска истекло.
  • Отклонено – плейбук завершен, так как пользователь отклонил запуск.

  Вы можете нажать на значение Статус плейбука или на значение Статус действия, чтобы открыть окно с результатом запуска плейбука или действия по реагированию. Идентификатор запуска может использоваться Службой технической поддержки для загрузки данных, необходимых для анализа в случае ошибок выполнения. По умолчанию данные хранятся 72 часа.
  Если статус плейбука равен В обработке, вы можете просмотреть идентификатор запуска, наведя курсор мыши на значок рядом со статусом.

• Активы. Количество активов, для которых запускается плейбук или действие по реагированию. Вы можете перейти по ссылке с номером актива, чтобы просмотреть подробную информацию об активе. Поле пустое, если плейбук или действие по реагированию не включают активы.
• Тенант. Имя тенанта, которому принадлежит плейбук.
• Подтверждающий. Имя пользователя, который подтвердил или отклонил запуск плейбука или запуск действия по реагированию.

  По умолчанию этот столбец скрыт. Чтобы отобразить столбец, нажмите на значок параметров () и выберите столбец Подтверждающий.

• Время подтверждения. Дата и время, когда плейбук или действие по реагированию были подтверждены или отклонены. По умолчанию этот столбец не отображается.

  По умолчанию этот столбец скрыт. Чтобы отобразить столбец, нажмите на значок параметров () и выберите столбец Время подтверждения.

В начало