Просмотр таблицы инцидентов

В таблице инцидентов представлена информация обо всех созданных инцидентах.

Чтобы просмотреть таблицу инцидентов:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.

   Откроется таблица инцидентов.

2. При необходимости отфильтруйте тенанты. По умолчанию фильтр тенантов выключен и в таблице инцидентов отображаются инциденты, относящиеся ко всем тенантам, к которым у вас есть права доступа. Чтобы применить фильтр для тенантов:
   1. По ссылке рядом с параметром Фильтр тенантов откройте список тенантов.
   2. Установите флажки рядом с требуемыми тенантами.

      В таблице инцидентов отобразятся только инциденты, обнаруженные на активах, принадлежащих выбранным тенантам.

Таблица инцидентов содержит следующие столбцы:

• Создан – дата и время создания инцидента.
• Продолжительность угрозы – время между самыми ранними и самыми последними событиями среди всех алертов, связанных с инцидентом.
• Время обновления – дата и время последнего изменения в истории инцидента.
• ID инцидента – идентификатор инцидента.
• Статус – текущий статус инцидента.
• Статус изменен – дата и время, когда был изменен статус инцидента.
• Важность – важность инцидента.
• Приоритет – приоритет инцидента.
• Связан с алертами – количество алертов в инциденте.
• Название – название инцидента.
• Правила – правила, которые сработали для создания инцидента.
• Затронутые активы – устройства и пользователи, затронутые инцидентом. Если количество активов, затронутых инцидентом или вовлеченных в него, больше или равно трем, отображается количество затронутых устройств.
• Тенант – имя тенанта, у которого был обнаружен инцидент.
• Аналитик – текущий исполнитель инцидента.
• Есть родительский инцидент – наличие у инцидента родительского инцидента. Если отображается значение Да, инцидент является дочерним инцидентом.
• Статус дочерних инцидентов – возможные значения: Закрыт, В обработке, Дочерних инцидентов нет.
• Технология – технологии, зарегистрировавшие алерты, связанные с инцидентом.
• Метод создания – способ создания инцидента, вручную или автоматически.
• Наблюдаемые объекты – количество обнаруженных артефактов, например IP-адреса или MD5-хеши файлов.
• Объект КИИ – наличие хотя бы одного актива, который включен в инцидент и является объектом критической информационной инфраструктуры (КИИ).

  Принимает значение Да, если затронутый актив – это объект КИИ первой, второй, третьей категории значимости или объект КИИ без категории значимости. Столбец доступен для отображения, если лицензия приложения включает модуль ГосСОПКА.

См. также: Об инцидентах Создание инцидентов Назначение инцидентов аналитикам Изменение статуса инцидента Изменение приоритета инцидента Объединение инцидентов

В начало