Работа с отчётами
В KOMRAD есть возможность создавать два вида отчётов:
- Отчёты об инцидентах
- Отчёты о действиях пользователей
Рассмотрим процесс работы с каждым из них более подробно.
Отчёты об инцидентах
Чтобы сгенерировать отчет по инцидентам, перейдите во вкладку "Инциденты", выберите раздел "Инциденты", перейдите на вкладку "Подтвержденные" или "Ложное срабатывание" и нажмите на кнопку Сгенерировать отчёт, после чего выберите период отчёта, как показано на скриншоте ниже.
Генерировать отчёты можно в любой из указанных вкладок ("Подтвержденные" и "Ложное срабатывание"), отчёт в любом случае будет содержать информацию и по подтверждённым инцидентам, и по ложным срабатываниям
После выполнения вышеуказанных действий нажмите на кнопку Применить, далее у вас начнётся загрузка xlsx-файла с отчётом по инцидентам.
В отчёте вы увидите статистику как по всем инцидентам сразу, так и конкретно по каждому из них. Ниже приведены примеры таких отчётов.
Отчёты о действиях пользователей
Записи аудита, получаемые в результате работы системы, могут быть проанализированы, чтобы определить, какие действия происходили, и кто из пользователей за них отвечает.
Чтобы сгенерировать отчет по действиям пользователей, перейдите "manage" ⇒ "Пользователи", далее выберите вкладку "Отчёт по действиям пользователей".
Укажите предпочитаемый формат (csv / ndjson) и период.
Выберите, отчёт о чьих действиях вы хотите создать. Вам доступно три варианта:
- Все пользователи
- Все пользователи (без automatic) — это значит, что будут учитываться только конкретные действия пользователей, которые они выполняют вручную. То, что делает SIEM-система без прямого участия пользователя, отображаться не будет
- Пользователь — нужно выбрать конкретного пользователя
После чего нажмите кнопку Сохранить. Начнётся загрузка файла audit-logs, в котором содержится сырой отчёт о действиях пользователей.