Настройка автоматического назначения алертов и инцидентов

Open Single Management Platform позволяет настроить автоматическое назначение алертов, инцидентов и дочерних инцидентов аналитику. Если включено автоматическое назначение, алерты или инциденты, которые уже назначены группе пользователей вручную или с помощью плейбука, будут автоматически назначены аналитику из этой группы. Аналитик, которому назначается алерт или инцидент, должен соответствовать следующим условиям:

• Иметь статус Доступен.
• Иметь наименьшее количество активных алертов и инцидентов в группе.
• Иметь продолжительность сеанса пользователя, равную или превышающую настроенный минимум.

Если критериям автоматического назначения соответствуют несколько аналитиков, приложение назначает алерт или инцидент одному из них случайным образом.

Если в группе, которой назначили алерт или инцидент, нет пользователей или нет подходящих пользователей (например, все пользователи имеют статус Занят), алерт или инцидент останутся назначенными группе.

Автоматическое назначение выполняется только один раз, в момент назначения алерта или инцидента группе пользователей. Если приложению не удается назначить алерт или инцидент пользователю во время этой первоначальной попытки, алерт или инцидент остаются назначенными группе. Дальнейшие попытки назначить алерт или инцидент не выполняются.

Для настройки автоматического назначения алертов или инцидентов у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор SOC, Администратор тенанта.

Чтобы настроить автоматическое назначение алертов и инцидентов:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры нажмите Управление алертами и инцидентами.
4. В разделе Автоматическое назначение включите автоматическое назначение для одного или нескольких параметров ниже:
   • Алерты
   • Инциденты
   • Дочерние инциденты
5. В поле Минимальная продолжительность активности пользователя (мин) укажите минимальную продолжительность сеанса пользователя для аналитика.

   По достижении этого значения аналитик включается в список пользователей, доступных для назначения алертов и/или инцидентов. По умолчанию значение равно 5.

6. Нажмите на кнопку Сохранить.

Автоматическое назначение будет настроено.

После того как алерт или инцидент будут автоматически назначены пользователю, информация о назначении отобразится в сведениях алерта или инцидента в разделе История. При автоматическом назначении алерта или инцидента в журнале в качестве автора записывается значение Система.

В начало