О виджетах и схемах расположения виджетов
С помощью виджетов вы можете осуществлять мониторинг работы приложения.
Схема расположения виджетов – вид рабочей области окна веб-интерфейса приложения в разделе Мониторинг. Вы можете добавлять, удалять и перемещать виджеты на схеме расположения виджетов, а также настраивать масштаб виджетов.
Если вы используете режим распределенного решения и мультитенантности, в разделе отображаются данные по выбранному вами тенанту. Виджеты NDR отображают информацию только по текущему или по выбранному узлу.
По умолчанию в разделе отображается информация только об алертах, не обработанных пользователями. Если вы хотите, чтобы информация об обработанных алертах тоже отображалась, включите переключатель Показывать закрытые алерты в правом верхнем углу окна.
В разделе Мониторинг отображаются следующие виджеты:
- Алерты:
- Алерты по состоянию. Отображение состояния алерта в зависимости от того, какой пользователь Kaspersky Anti Targeted Attack Platform его обрабатывает и от того, обработан этот алерт или нет.
- Алерты по технологии. Отображение названий модулей или компонентов приложения, создавших алерт.
- Алерты по вектору атаки. Отображение обнаруженных объектов по направлению атаки.
- VIP-алерты по степени важности. Отображение важности алертов со статусом VIP в соответствии с тем, какое влияние они могут оказать на безопасность компьютера или локальной сети организации, по опыту "Лаборатории Касперского".
- Алерты по степени важности. Отображение важности алертов для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние они могут оказать на безопасность компьютеров или локальной сети организации, по опыту "Лаборатории Касперского".
В левой части каждого виджета перечислены векторы атаки, степени важности алертов, состояния алертов и технологии, при проверке которыми был создан алерт. В правой части каждого виджета отображается количество раз, которое приложение обнаружило их за выбранный период отображения данных на виджетах.
По ссылке с названием вектора атаки, степенью важности алертов, состоянием алертов и технологией, при проверке которой был создан алерт, можно перейти в раздел Алерты веб-интерфейса приложения и просмотреть связанные алерты. При этом алерты будут отфильтрованы по выбранному элементу.
- Топ 10:
- Домены. 10 доменов, наиболее часто встречающихся в алертах.
- IP-адреса. 10 IP-адресов, наиболее часто встречающихся в алертах.
- Адреса отправителей. 10 отправителей сообщений электронной почты, наиболее часто встречающихся в алертах.
- Адреса получателей. 10 получателей сообщений электронной почты, наиболее часто встречающихся в алертах.
- Хосты TAA. 10 хостов, наиболее часто встречающихся в событиях и алертах, Созданных при проверке технологией Targeted Attack Analyzer (TAA).
- Правила TAA. 10 правил TAA (IOA), наиболее часто встречающихся в событиях и алертах, созданных при проверке технологией Targeted Attack Analyzer (TAA).
- Отправлено в Sandbox по правилам TAA. 10 правил TAA (IOA), по которым Kaspersky Anti Targeted Attack Platform наиболее часто отправляет файлы на проверку компоненту Sandbox.
В левой части каждого виджета перечислены домены, адреса получателей, IP-адреса и адреса отправителей сообщений, имена хостов и названия правил TAA (IOA). В правой части каждого виджета отображается количество раз, которое приложение обнаружило их за выбранный период отображения данных на виджетах.
По ссылке с именем каждого домена, адреса получателя, IP-адреса и адреса отправителя сообщений можно перейти в раздел Алерты веб-интерфейса приложения и просмотреть связанные алерты.
По ссылке с именем хоста и названию правила TAA (IOA) можно перейти в раздел События веб-интерфейса приложения и просмотреть связанные события.
При этом алерты и события будут отфильтрованы по выбранному элементу.
- NDR:
- Оценки событий в трафике сети. Гистограмма распределения событий по значениям их оценок за выбранный период. Столбцы гистограммы соответствуют целочисленным значениям оценок. Вы можете изменить режим отображения данных на круговую диаграмму с распределением событий по уровням критичности. В зависимости от числового значения оценки события могут относиться к уровням критичности Низкий (оценки 0.0–3.9), Средний (оценки 4.0–7.9) или Высокий (оценки 8.0–10.0).
- События в трафике сети по технологиям. Количественное распределение событий по технологиям регистрации событий за выбранный период.
- Состояние безопасности устройств. Распределение устройств по их состояниям безопасности.
- Частые пользователи приложений в событиях в трафике сети. Наиболее часто регистрируемые имена пользователей в событиях по данным от EPP-приложений за выбранный период.
- Частые приложения в событиях в трафике сети. Наиболее часто регистрируемые сторонние приложения в событиях по данным от EPP-приложений за выбранный период.
- Частые устройства в событиях в трафике сети. Наиболее часто регистрируемые устройства в событиях за выбранный период.
- Частые устройства по количеству рисков. Наиболее часто регистрируемые устройства в обнаруженных рисках за выбранный период.
- Оценки рисков. Гистограмма распределения рисков по значениям их оценок за выбранный период. Столбцы гистограммы соответствуют целочисленным значениям оценок. Вы можете изменить режим отображения данных на круговую диаграмму с распределением рисков по уровням критичности. В зависимости от числового значения оценки риска могут относиться к уровням критичности Низкий (оценки 0.0–3.9), Средний (оценки 4.0–7.9) или Высокий (оценки 8.0–10.0).
- Пользовательский виджет. Вы можете создавать виджеты с произвольно заданным содержанием. С помощью пользовательских виджетов вы можете, например, логически разделять группы виджетов в разделе Мониторинг.
- Устройства. Содержит информацию об устройствах в сети (используется распределение по категориям устройств).
- События в трафике сети. Содержит информацию о событиях NDR и агрегирующих событиях, имеющих наиболее поздние значения даты и времени последнего появления.
- Ситуационная осведомленность. Уведомления о текущих выявленных угрозах для безопасности системы (например, "Обнаружены 10 неразрешенных сетевых взаимодействий"). Виджет отображает уведомления в порядке их уровня важности.
- Защищенность EPP-приложениями. Количественное соотношение компьютеров, защищенных и не защищенных EPP-приложениями. В центре круговой диаграммы отображается суммарное количество защищенных и не защищенных компьютеров.
Компьютер считается защищенным EPP-приложением, если в Kaspersky Anti Targeted Attack Platform имеются сведения о выполнении следующих условий:
- на компьютере установлено EPP-приложение;
- для EPP-приложения выполняется задача Постоянная защита (Real-Time Protection);
- EPP-приложение имеет статус подключения к серверу интеграции Активное.
Компьютер считается не защищенным EPP-приложением, если не выполнено хотя бы одно из перечисленных условий. Проверка на незащищенность EPP-приложением выполняется для всех устройств в Kaspersky Anti Targeted Attack Platform, содержащих название операционной системы Windows (любой версии) в качестве установленной операционной системы, или если устройства относятся к одной из следующих категорий:
- Сервер;
- Рабочая станция.
Чтобы на виджетах NDR отображались корректные данные, требуется настроить синхронизацию даты и времени между компонентами Central Node и Sensor.
В виджетах отображается только основная информация, которая изменяется динамически. Если вам нужно просмотреть более подробную информацию (например, об устройствах, требующих внимания), вы можете перейти из раздела Мониторинг к другим разделам веб-интерфейса программы. Переходы можно выполнять путем выбора элементов интерфейса виджетов с помощью мыши.