Статусы событий NDR позволяют отобразить в приложении последовательность обработки полученной информации сотрудниками службы безопасности.
Событиям NDR и агрегирующим событиям могут быть присвоены следующие статусы:
Этот статус присваивается всем событиям NDR и агрегирующим событиям при их регистрации в Kaspersky Anti Targeted Attack Platform.
Этот статус вы можете присвоить событиям NDR и агрегирующим событиям, которые находятся в обработке (например, во время расследования причин регистрации этих событий и инцидентов).
Этот статус вы можете присвоить событиям NDR и агрегирующим событиям, которые уже обработаны (например, завершено расследование причин их регистрации).
После присвоения статуса Обработано приложение не учитывает события NDR и агрегирующие события с этим статусом при определении состояния безопасности устройств, отображаемых в таблице устройств и на карте сетевых взаимодействий.
Изменение статусов событий NDR и агрегирующих событий выполняется вручную. Вы можете последовательно присваивать статусы в порядке от статуса Новое до статуса Обработано. При этом можно не присваивать промежуточный статус В обработке. После изменения статуса события NDR и агрегирующего события ему невозможно присвоить предыдущий статус.
Если статус Обработано присвоен агрегирующему событию, все вложенные события NDR автоматически меняют статус на Обработано, а также закрываются связанные алерты.
Если статус Обработано присвоен событию NDR, агрегирующие события, в которые вложено это событие NDR, и связанные алерты не закрываются.
В начало