Работа с инцидентами
В KOMRAD есть функция работы с инцидентами. Вы можете создать инцидент вручную из карточки события или добавить во вкладке Инциденты→Инциденты. При ручном создании инцидента.
Расположение
Статус компонентов располагается во вкладке "Инциденты"

Инциденты делятся на 3 типа:
-
Неподтверждённые - в данную категорию попадают все новые инциденты, с которыми ещё не производились действия, например, если сработала директива или инцидент был создан вручную.
-
Подтверждённые - в данную категорию попадают подтверждённые инциденты.
-
Ложное срабатывание - в данную категорию попадают отклонённые инциденты. Чтобы отклонить инцидент, необходимо указать причину.
Возможные действия:
1) Для подтверждения инцидента или же определения его, как ложное срабатывание, необходимо выбрать инцидент, или же группу инцидентов из «Неподтвержденных», и с помощью функциональных клавиш определить в необходимую группу;
2) Описать причину в случае определения в ложное срабатывание или при подтверждении и нажать кнопку «Подтвердить».
Разделы карточки инцидента
Карточка инцидента делится на разделы:
-
Информация - основная информация по инциденту;
-
История - набор сценариев генерации инцидента, применимо для агрегированных инцидентов;
-
События - список событий относящихся к инциденту;
-
Рекомендации - обогащение инцидента рекомендациями по устранению инцидента;
-
Активы - список активов связанных с инцидентом;
-
Матрица атак - информация о свойстве и характере угрозы;
-
ГосСОПКА - карточка инцидента в формате инцидента НКЦКИ с возможностью ручной отправки инцидента.
Карточка инцидента
-
ID инцидента - Идентификатор инцидента;
-
Директива - Имя сработавшей директивы (в случае ручного создания прочерк);
-
Описание - Поле заполненное на этапе ручного создания инцидента;
-
Причина - Причина указанная при определении инцидента как подтвержденного/ложного срабатывания;
-
Дата начала - Время из первого события вошедшего в инцидент;
-
Дата выявления инцидента - Время срабатывания директивы;
-
Дата закрытия - Время перевода в "ложное срабатывание" или изменивший статус на "закрыт";
-
Важность - Параметр оценки приоритетности инцидента;
-
Статус - Состояние инцидента;
-
Количество событий - При использовании усложнённой логики генерации инцидентов, инцидент состоит не из одного события;
-
ID коррелятора - Уникальный идентификатор коррелятора (уникальный для каждой директивы);
-
Ответственный - Ответственный за расследование инцидента;
-
Статус отправки в ГосСОПКА - Возможные варианты "Отправка не требуется" и "Отправлено";
-
Линия расследования - Возможность увеличить линию расследования;
-
Идентификатор предприятия - Идентификатор места установки коллектора (tenantID);
-
Метка безопасности - Метка безопасности, аналог Oracle Security Label;
-
Категория типа инцидента в НКЦКИ - Категория типа инцидента, указанная в директиве;
-
Тип инцидента в НКЦКИ - Аналогично полям ГосСОПКА;
-
ID в НКЦКИ - Идентификатор, присвоенный в НКЦКИ.