Работа с отчётами
В KOMRAD есть возможность создавать два вида отчётов:
-
Отчёты об инцидентах
-
Отчёты о действиях пользователей
Рассмотрим процесс работы с каждым из них более подробно.
Отчёты об инцидентах
Чтобы сгенерировать отчет по инцидентам, перейдите во вкладку "Инциденты", выберите раздел "Инциденты", перейдите на вкладку "Подтвержденные" или "Ложное срабатывание" и нажмите на кнопку "Сгенерировать отчёт", после чего выберите период отчёта, как показано на скриншоте ниже.
Генерировать отчёты можно в любой из указанных вкладок ("подтвержденные" и "ложное срабатывание"), отчёт в любом случае будет содержать информацию и по подтверждённым инцидентам, и по ложным срабатываниям |

После выполнения вышеуказанных действий нажмите на кнопку "Применить", далее у вас начнётся загрузка xlsx-файла с отчётом по инцидентам.
В отчёте вы увидите статистику как по всем инцидентам сразу, так и конкретно по каждому из них. Ниже приведены примеры таких отчётов.


Отчёты о действиях пользователей
Записи аудита, получаемые в результате работы программы, могут быть проанализированы, чтобы определить, какие действия происходили, и кто из пользователей за них отвечает.
Чтобы сгенерировать отчет по действиям пользователей, перейдите "Администрирование" —> "Пользователи", далее выберите вкладку "Отчёт по действиям пользователей"

Укажите предпочитаемый формат (csv / ndjson) и период.
Выберите, отчёт о чьих действиях вы хотите создать. Вам доступно три варианта:
-
Все пользователи
-
Все пользователи (без automatic) — это значит, что будут учитываться только конкретные действия пользователей, которые они выполняют вручную. То, что делает SIEM-система без прямого участия пользователя, отображаться не будет
-
Пользователь — нужно выбрать конкретного пользователя
После чего нажмите кнопку "Сохранить". Начнётся загрузка файла audit-logs
, в котором содержится сырой отчёт о действиях пользователей.