Набор виджетов, используемых на вкладке Обнаружение и реагирование, называется макетом. Все виджеты должны быть размещены на макетах. Open Single Management Platform позволяет создавать, изменять и удалять макеты. Также доступны преднастроенные макеты панели мониторинга. При необходимости вы можете изменять параметры виджета в предварительно настроенных макетах. По умолчанию на вкладке Обнаружение и реагирование выбран макетОбзор алертов.
Виджет отображает данные за период, выбранный в параметрах виджета или макета, только для тенантов, указанных в параметрах виджета или макета.
Перейдя по ссылке с названием виджета о событиях, алертах, инцидентах или активных листах, вы можете перейти в соответствующий раздел интерфейса Open Single Management Platform. Обратите внимание, что этот параметр недоступен для некоторых виджетов.
На вкладке Обнаружение и реагирование в панели мониторинга доступны следующие категории виджетов и виджеты:
События.Виджет для создания аналитики на основе событий.
Активные листы. Виджет для создания аналитики на основе активных листов корреляторов.
Алерты. Группа для аналитиков, которые работают с алертами. Включает информацию об алертах и инцидентах, предоставляемую Open Single Management Platform.
В группу входят следующие виджеты:
Активные алерты. Количество незакрытых алертов.
Активные алерты по тенантам. Количество незакрытых алертов, сгруппированных по тенантам.
Алерты по тенантам. Количество алертов всех статусов, сгруппированных по тенантам.
Неназначенные алерты. Количество алертов, у которых нет исполнителя.
Алерты по статусу. Количество алертов со статусами Новый, Открыт, Назначен или Эскалирован. Сгруппированы по статусу.
Последние алерты.Таблица с информацией о последних 10 незакрытых алертах, принадлежащих выбранным в макете тенантам.
Распределение алертов. Количество алертов, созданных в течение указанного для виджета периода.
Алерты по исполнителю. Количество алертов со статусом Назначен. Сгруппированы по имени учетной записи.
Алертов по уровню важности. Количество незавершенных алертов, сгруппированных по уровню важности.
Алертов по правилу. Количество незакрытых алертов, сгруппированных по правилу корреляции.
Активы. Группа для аналитики об активах из обработанных событий. Эта группа включает следующие виджеты:
Затронутые активы в алертах. Таблица с информацией об активах и количестве незакрытых алертов, которые связаны с этими активами. Переход от виджета к разделу со списком активов недоступен.
Категории затронутых активов. Категории активов, привязанных к незакрытым алертам.
Количество активов. Количество активов, добавленных в Open Single Management Platform.
Активы в инцидентах по тенантам. Количество активов в незакрытых инцидентах. Сгруппированы по тенантам.
Активы в алертах по тенантам. Количество активов в незакрытых алертах, сгруппированных по тенантам.
Инциденты. Группа для аналитиков, которые работают с инцидентами.
В группу входят следующие виджеты:
Активные инциденты. Количество незакрытых инцидентов.
Неназначенные инциденты. Количество инцидентов со статусом Открыт.
Распределение инцидентов. Количество инцидентов, созданных в течение указанного для виджета периода.
Инциденты по статусам. Количество инцидентов, сгруппированных по статусам.
Инцидентов по типу. Количество инцидентов в любом статусе, сгруппированных по типу.
Активные инциденты по тенантам. Количество незакрытых инцидентов, сгруппированных по тенантам, доступным пользователю.
Все инциденты. Количество инцидентов всех статусов.
Все инциденты по тенантам. Количество инцидентов всех статусов, сгруппированных по тенантам.
Категории активов в инцидентах. Категории активов, которые затронуты незакрытыми инцидентами.
Последние инциденты. Таблица с информацией о последних 10 незакрытых инцидентах, принадлежащих выбранным в макете тенантам.
Инциденты по исполнителю. Количество инцидентов со статусом Назначен. Сгруппированы по имени учетной записи пользователя.
Инцидентов по уровню важности. Количество незавершенных инцидентов, сгруппированных по уровню важности.
Затронутые активы в инцидентах. Количество активов в незакрытых инцидентах. Переход от виджета к разделу со списком активов недоступен.
Затронутые в инцидентах пользователи. Количество пользователей, связанных с инцидентами. Переход от виджета к разделу со списком пользователей недоступен.
Источники событий. Группа для аналитиков, которые работают с событиями. В группу входят следующие виджеты:
Топ источников событий по количеству алертов. Количество незакрытых алертов, сгруппированных по источникам событий.
Топ источников событий по условному рейтингу. Количество событий, для которых существует незакрытый алерт, сгруппированных по источникам событий. Группировка осуществляется по источнику событий.
В некоторых случаях количество алертов, созданных источниками, может быть искажено. Для получения точной статистики рекомендуется в правиле корреляции указать поле события Device Product в качестве уникального, а также включить хранение всех базовых событий в корреляционном событии. Правила корреляции с такими параметрами являются более ресурсоемкими.
Пользователи. Группа для аналитики о пользователях из обработанных событий. В группу входят следующие виджеты:
Затронутые пользователи в алертах. Количество учетных записей, связанных с незакрытыми алертами. Переход от виджета к разделу со списком пользователей недоступен.
Количество пользователей AD. Количество учетных записей в Active Directory, полученных по LDAP в течение указанного в виджете периода.
В таблице событий, в области сведений о событиях, в окне алертов и в виджетах имена активов, учетных записей и служб отображаются вместо идентификаторов в качестве значений полей SourceAssetID, DestinationAssetID, DeviceAssetID, SourceAccountID, DestinationAccountID и ServiceID. При экспорте событий в файл идентификаторы сохраняются, но в файл добавляются столбцы с именами. Идентификаторы также отображаются при наведении курсора мыши на названия активов, учетных записей или служб. Поиск полей с идентификаторами возможен только по идентификаторам.
Плейбуки. Группа для аналитиков, которые работают с плейбуками.
Для просмотра виджетов в этой группе у вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Администратор SOC, Менеджер SOC, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Подтверждающий, Наблюдатель.
В группу входят следующие виджеты:
Статистика MTTR. Изменение времени первого действия по реагированию на алерты и инциденты за указанный период времени (по умолчанию 30 дней). Виджет отображает столбчатую диаграмму.
Доступны следующие параметры конфигурации виджета Статистика MTTR:
Тип MTTR:
Значение. Изменяет среднее время до первого действия по реагированию на алерт и инциденты.
Минимальный. Изменяет минимальное время до первого действия по реагированию на алерты и инциденты.
Максимальный. Изменяет максимальное время до первого действия по реагированию на алерты и инциденты.
Режим реагирования:
Вручную. Изменяет время только для первых действий по реагированию вручную.
Автоматически. Изменяет время только для автоматических первых действий по реагированию.
Все. Изменяет время на все первые действия по реагированию.
Область действия:
Алерты. Изменяет время до первого действия по реагированию только на алерты.
Инциденты. Изменяет время до первого действия по реагированию только на инциденты.
Все. Изменяет время до первого действия по реагированию на алерты и инциденты.
Автоматический и ручной запуск плейбуков. Общее количество автоматических и ручных запусков плейбуков за определенный период. Виджет отображает столбчатую диаграмму.
Параметр Тип запуска для виджета указывает, следует ли отображать только количество автоматических запусков, только запусков вручную или общее количество запусков плейбуков за определенный период.
Для виджетов Статистика MTTR и Автоматический и ручной запуск плейбуков вы также можете установить параметр Длина сегментов периода. Этот параметр указывает период, в течение которого будут сгруппированы данные. Вы можете группировать данные за каждый час, каждые 4 часа или каждые 24 часа. На столбчатой диаграмме параметр Длина сегментов периода указывает ширину столбца.
Покрытие алертов и инцидентов с помощью плейбука. Количество активных алертов и инцидентов. Вы можете выбрать, какие компоненты отображать: инциденты, алерты или все.
На кольцевой диаграмме отображаются алерты/инциденты в следующих секторах:
Алерты/инциденты, для которых был запущен плейбук в режиме Автоматический.
Алерты/инциденты, для которых был запущен плейбук в режиме Обучение.
Все остальные алерты/инциденты.
Экономия времени с помощью плейбуков. Экономия времени за счет запуска всех плейбуков со статусомУспешно или Предупреждение.
По умолчанию виджет не отображается.
Вы можете просмотреть полный список плейбуков, нажав на имя любого виджета плейбука.