Перейти к основному содержимому
Версия: 4.3.58

Работа с инцидентами

В KOMRAD есть функция работы с инцидентами. Вы можете создать инцидент вручную из карточки события или добавить во вкладке Инциденты ⇒ Инциденты. При ручном создании инцидента необходимо задать ID события, который записан в поле "Ключ события" из карточки события.

Расположение

Статус компонентов располагается во вкладке "Инциденты"

1

Инциденты делятся на 3 типа:

  • Неподтверждённые - в данную категорию попадают все новые инциденты, с которыми ещё не производились действия, например, если сработала директива или инцидент был создан вручную
  • Подтверждённые - в данную категорию попадают подтверждённые инциденты
  • Ложное срабатывание - в данную категорию попадают отклонённые инциденты. Чтобы отклонить инцидент, необходимо указать причину

Возможные действия:

  1. Для подтверждения инцидента или же определения его, как ложное срабатывание, необходимо выбрать инцидент, или же группу инцидентов из «Неподтвержденных», и с помощью функциональных клавиш определить в необходимую группу

  2. Описать причину в случае определения в ложное срабатывание или при подтверждении и нажать кнопку Подтвердить

Разделы карточки инцидента

Карточка инцидента делится на разделы:

  • Информация - основная информация по инциденту
  • История - набор сценариев генерации инцидента, применимо для агрегированных инцидентов
  • События - список событий относящихся к инциденту
  • Рекомендации - обогащение инцидента рекомендациями по устранению инцидента
  • Активы - список активов связанных с инцидентом
  • Матрица атак - информация о свойстве и характере угрозы
  • ГосСОПКА - карточка инцидента в формате инцидента НКЦКИ с возможностью ручной отправки инцидента

Карточка инцидента

  • ID инцидента - идентификатор инцидента
  • Директива - имя сработавшей директивы (в случае ручного создания прочерк)
  • Описание - поле заполненное на этапе ручного создания инцидента
  • Причина - причина указанная при определении инцидента как подтвержденного/ложного срабатывания
  • Дата начала - время из первого события вошедшего в инцидент
  • Дата выявления инцидента - время срабатывания директивы
  • Дата закрытия - время перевода в "ложное срабатывание" или изменения статуса на "закрыт"
  • Важность - параметр оценки приоритетности инцидента
  • Статус - состояние инцидента
  • Количество событий - при использовании усложнённой логики генерации инцидентов, инцидент состоит не из одного события
  • ID коррелятора - уникальный идентификатор коррелятора (уникальный для каждой директивы)
  • Ответственный - ответственный за расследование инцидента
  • Статус отправки в ГосСОПКА - возможные варианты "Отправка не требуется" и "Отправлено"
  • Линия расследования - возможность увеличить линию расследования
  • Идентификатор предприятия - идентификатор места установки коллектора (tenantID)
  • Метка безопасности - метка безопасности, аналог Oracle Security LabelOracle Security Label``
  • Категория типа инцидента в НКЦКИ - категория типа инцидента, указанная в директиве
  • Тип инцидента в НКЦКИ - аналогично полям ГосСОПКА
  • ID в НКЦКИ - идентификатор, присвоенный в НКЦКИ
Последнее обновление