Работа с инцидентами
В KOMRAD есть функция работы с инцидентами. Вы можете создать инцидент вручную из карточки события или добавить во вкладке Инциденты→Инциденты. При ручном создании инцидента необходимо задать ID события, который записан в поле "Ключ события" из карточки события.
Расположение
Статус компонентов располагается во вкладке "Инциденты"

Инциденты делятся на 3 типа:
-
Неподтверждённые - в данную категорию попадают все новые инциденты, с которыми ещё не производились действия, например, если сработала директива или инцидент был создан вручную
-
Подтверждённые - в данную категорию попадают подтверждённые инциденты
-
Ложное срабатывание - в данную категорию попадают отклонённые инциденты. Чтобы отклонить инцидент, необходимо указать причину
Возможные действия:
1) Для подтверждения инцидента или же определения его, как ложное срабатывание, необходимо выбрать инцидент, или же группу инцидентов из «Неподтвержденных», и с помощью функциональных клавиш определить в необходимую группу
2) Описать причину в случае определения в ложное срабатывание или при подтверждении и нажать кнопку «Подтвердить»
Разделы карточки инцидента
Карточка инцидента делится на разделы:
-
Информация - основная информация по инциденту
-
История - набор сценариев генерации инцидента, применимо для агрегированных инцидентов
-
События - список событий относящихся к инциденту
-
Рекомендации - обогащение инцидента рекомендациями по устранению инцидента
-
Активы - список активов связанных с инцидентом
-
Матрица атак - информация о свойстве и характере угрозы
-
ГосСОПКА - карточка инцидента в формате инцидента НКЦКИ с возможностью ручной отправки инцидента
Карточка инцидента
-
ID инцидента - идентификатор инцидента
-
Директива - имя сработавшей директивы (в случае ручного создания прочерк)
-
Описание - поле заполненное на этапе ручного создания инцидента
-
Причина - причина указанная при определении инцидента как подтвержденного/ложного срабатывания
-
Дата начала - время из первого события вошедшего в инцидент
-
Дата выявления инцидента - время срабатывания директивы
-
Дата закрытия - время перевода в "ложное срабатывание" или изменивший статус на "закрыт"
-
Важность - параметр оценки приоритетности инцидента
-
Статус - состояние инцидента
-
Количество событий - при использовании усложнённой логики генерации инцидентов, инцидент состоит не из одного события
-
ID коррелятора - уникальный идентификатор коррелятора (уникальный для каждой директивы)
-
Ответственный - ответственный за расследование инцидента
-
Статус отправки в ГосСОПКА - возможные варианты "Отправка не требуется" и "Отправлено"
-
Линия расследования - возможность увеличить линию расследования
-
Идентификатор предприятия - идентификатор места установки коллектора (tenantID)
-
Метка безопасности - метка безопасности, аналог Oracle Security Label
-
Категория типа инцидента в НКЦКИ - категория типа инцидента, указанная в директиве
-
Тип инцидента в НКЦКИ - аналогично полям ГосСОПКА
-
ID в НКЦКИ - идентификатор, присвоенный в НКЦКИ