Работа с инцидентами

В KOMRAD есть функция работы с инцидентами. Вы можете создать инцидент вручную из карточки события или добавить во вкладке Инциденты→Инциденты. При ручном создании инцидента.

Расположение

Статус компонентов располагается во вкладке "Инциденты"

Инциденты

Инциденты делятся на 3 типа:

  • Неподтверждённые - в данную категорию попадают все новые инциденты, с которыми ещё не производились действия, например, если сработала директива или инцидент был создан вручную.

  • Подтверждённые - в данную категорию попадают подтверждённые инциденты.

  • Ложное срабатывание - в данную категорию попадают отклонённые инциденты. Чтобы отклонить инцидент, необходимо указать причину.

Возможные действия:

1) Для подтверждения инцидента или же определения его, как ложное срабатывание, необходимо выбрать инцидент, или же группу инцидентов из «Неподтвержденных», и с помощью функциональных клавиш определить в необходимую группу;

2) Описать причину в случае определения в ложное срабатывание или при подтверждении и нажать кнопку «Подтвердить».

Разделы карточки инцидента

Карточка инцидента делится на разделы:

  • Информация - основная информация по инциденту;

  • История - набор сценариев генерации инцидента, применимо для агрегированных инцидентов;

  • События - список событий относящихся к инциденту;

  • Рекомендации - обогащение инцидента рекомендациями по устранению инцидента;

  • Активы - список активов связанных с инцидентом;

  • Матрица атак - информация о свойстве и характере угрозы;

  • ГосСОПКА - карточка инцидента в формате инцидента НКЦКИ с возможностью ручной отправки инцидента.

Карточка инцидента

  • ID инцидента - Идентификатор инцидента;

  • Директива - Имя сработавшей директивы (в случае ручного создания прочерк);

  • Описание - Поле заполненное на этапе ручного создания инцидента;

  • Причина - Причина указанная при определении инцидента как подтвержденного/ложного срабатывания;

  • Дата начала - Время из первого события вошедшего в инцидент;

  • Дата выявления инцидента - Время срабатывания директивы;

  • Дата закрытия - Время перевода в "ложное срабатывание" или изменивший статус на "закрыт";

  • Важность - Параметр оценки приоритетности инцидента;

  • Статус - Состояние инцидента;

  • Количество событий - При использовании усложнённой логики генерации инцидентов, инцидент состоит не из одного события;

  • ID коррелятора - Уникальный идентификатор коррелятора (уникальный для каждой директивы);

  • Ответственный - Ответственный за расследование инцидента;

  • Статус отправки в ГосСОПКА - Возможные варианты "Отправка не требуется" и "Отправлено";

  • Линия расследования - Возможность увеличить линию расследования;

  • Идентификатор предприятия - Идентификатор места установки коллектора (tenantID);

  • Метка безопасности - Метка безопасности, аналог Oracle Security Label;

  • Категория типа инцидента в НКЦКИ - Категория типа инцидента, указанная в директиве;

  • Тип инцидента в НКЦКИ - Аналогично полям ГосСОПКА;

  • ID в НКЦКИ - Идентификатор, присвоенный в НКЦКИ.