Работа с инцидентами

В KOMRAD есть функция работы с инцидентами. Вы можете создать инцидент вручную из карточки события или добавить во вкладке Инциденты→Инциденты. При ручном создании инцидента необходимо задать ID события, который записан в поле "Ключ события" из карточки события.

Расположение

Статус компонентов располагается во вкладке "Инциденты"

Инциденты

Инциденты делятся на 3 типа:

  • Неподтверждённые - в данную категорию попадают все новые инциденты, с которыми ещё не производились действия, например, если сработала директива или инцидент был создан вручную

  • Подтверждённые - в данную категорию попадают подтверждённые инциденты

  • Ложное срабатывание - в данную категорию попадают отклонённые инциденты. Чтобы отклонить инцидент, необходимо указать причину

Возможные действия:

1) Для подтверждения инцидента или же определения его, как ложное срабатывание, необходимо выбрать инцидент, или же группу инцидентов из «Неподтвержденных», и с помощью функциональных клавиш определить в необходимую группу

2) Описать причину в случае определения в ложное срабатывание или при подтверждении и нажать кнопку «Подтвердить»

Разделы карточки инцидента

Карточка инцидента делится на разделы:

  • Информация - основная информация по инциденту

  • История - набор сценариев генерации инцидента, применимо для агрегированных инцидентов

  • События - список событий относящихся к инциденту

  • Рекомендации - обогащение инцидента рекомендациями по устранению инцидента

  • Активы - список активов связанных с инцидентом

  • Матрица атак - информация о свойстве и характере угрозы

  • ГосСОПКА - карточка инцидента в формате инцидента НКЦКИ с возможностью ручной отправки инцидента

Карточка инцидента

  • ID инцидента - идентификатор инцидента

  • Директива - имя сработавшей директивы (в случае ручного создания прочерк)

  • Описание - поле заполненное на этапе ручного создания инцидента

  • Причина - причина указанная при определении инцидента как подтвержденного/ложного срабатывания

  • Дата начала - время из первого события вошедшего в инцидент

  • Дата выявления инцидента - время срабатывания директивы

  • Дата закрытия - время перевода в "ложное срабатывание" или изменивший статус на "закрыт"

  • Важность - параметр оценки приоритетности инцидента

  • Статус - состояние инцидента

  • Количество событий - при использовании усложнённой логики генерации инцидентов, инцидент состоит не из одного события

  • ID коррелятора - уникальный идентификатор коррелятора (уникальный для каждой директивы)

  • Ответственный - ответственный за расследование инцидента

  • Статус отправки в ГосСОПКА - возможные варианты "Отправка не требуется" и "Отправлено"

  • Линия расследования - возможность увеличить линию расследования

  • Идентификатор предприятия - идентификатор места установки коллектора (tenantID)

  • Метка безопасности - метка безопасности, аналог Oracle Security Label

  • Категория типа инцидента в НКЦКИ - категория типа инцидента, указанная в директиве

  • Тип инцидента в НКЦКИ - аналогично полям ГосСОПКА

  • ID в НКЦКИ - идентификатор, присвоенный в НКЦКИ