Прикрепление событий к инцидентам

KOMRAD предоставляет несколько способов связать события информационной безопасности с инцидентами. Прикрепление событий возможно как к существующим инцидентам, так и при создании новых.

Способы прикрепления событий к существующим инцидентам

Массовое добавление из таблицы событий

Для добавления нескольких событий к одному или нескольким инцидентам:

1. Откройте таблицу событий (раздел Поиск по событиям)
2. Отметьте галочками нужные события
3. Нажмите кнопку Добавить к инциденту (кнопка становится активной после выбора хотя бы одного события)
4. В открывшемся модальном окне найдите нужные инциденты с помощью поиска и выберите один или несколько инцидентов через чек-боксы
5. Нажмите кнопку Подтвердить добавление

Все выбранные события будут добавлены ко всем выбранным инцидентам.

Добавление из вкладки событий инцидента

Для добавления событий к конкретному инциденту из его карточки:

1. Откройте карточку инцидента и перейдите на вкладку События
2. Нажмите кнопку Добавить события
3. В открывшемся модальном окне с таблицей событий используйте поиск и фильтры для нахождения нужных событий
4. Отметьте галочками события для добавления
5. Нажмите кнопку Добавить к инциденту (кнопка активируется после выбора хотя бы одного события)

Выбранные события будут добавлены в таблицу на вкладке События текущего инцидента.

Точечное добавление из карточки события

Для добавления конкретного события к инцидентам:

1. Откройте карточку просмотра события
2. Нажмите кнопку Добавить к инциденту (кнопка всегда активна для единичного события)
3. В модальном окне выберите один или несколько инцидентов
4. Нажмите кнопку Подтвердить добавление (кнопка активируется после выбора хотя бы одного инцидента)

Событие будет связано со всеми выбранными инцидентами.

Прикрепление событий при создании инцидента

Создание инцидента с добавлением событий

При ручном создании инцидента через кнопку Создать инцидент:

1. Заполните атрибуты инцидента:
   • Описание
   • Важность
   • Ответственный
   • Директива / Тактика MITRE
   • Категория ГосСОПКА
   • Название
2. Нажмите кнопку Добавить события в форме создания
3. В открывшемся интерфейсе таблицы событий воспользуйтесь поиском, фильтрами, выбором интервала и настройкой столбцов
4. Выберите одно или несколько событий с помощью чек-боксов и нажмите Добавить
5. Нажмите Сохранить для создания инцидента с выбранными событиями

Создание инцидента из таблицы событий

Для быстрого создания инцидента на основе выбранных событий:

1. Откройте раздел Поиск по событиям
2. Нажмите кнопку Создать инцидент -- рядом с каждым событием в таблице появятся чек-боксы
3. Отметьте события, которые необходимо включить в инцидент
4. Нажмите кнопку Подтвердить

примечание

При выборе событий последовательность записей в таблице остаётся стабильной и не меняется при поступлении новых данных. Выбранные строки визуально выделяются подсветкой.

Создание инцидента из карточки события

Для создания инцидента на основе конкретного события:

1. Откройте карточку просмотра события
2. Нажмите кнопку Создать инцидент
3. Подтвердите создание

Инцидент будет создан с единственным прикреплённым событием. Для добавления дополнительных событий перейдите в карточку созданного инцидента и воспользуйтесь добавлением из вкладки событий инцидента.

Доступность кнопок прикрепления

Кнопка Добавить к инциденту доступна на следующих страницах:

• Карточка события в карточке актива (вкладка События)
• Карточка события в группах (вкладка События)
• Таблица Поиск по событиям

Особенности поведения

• Кнопка Добавить к инциденту в таблицах по умолчанию неактивна и активируется только при выборе хотя бы одного события
• В карточке отдельного события кнопка всегда активна, поскольку контекст события уже определён
• Кнопки подтверждения в модальных окнах активируются только при выборе целевых объектов (инцидентов или событий)