Граф расследования

Граф расследования – это инструмент визуального анализа, который показывает связь между следующими объектами:

• события;
• алерты;
• пользователи;
• наблюдаемые объекты;
• активы (устройства);
• правила сегментации.

На графе отображается подробная информация об инциденте: соответствующие алерты и их общие свойства.

Чтобы открыть граф расследования:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. В таблице инцидентов нажмите на идентификатор требуемого инцидента.

   Откроется окно со сведениями об инциденте.

3. Нажмите на кнопку Посмотреть на графе.

Для просмотра графа требуется право на Запись в функциональной области Алерты и инциденты.
Для просмотра на графе сведений об активе, который является объектом КИИ, пользователю необходимо назначить роль Доступ к объектам КИИ.
Дополнительную информацию см. в статье Предопределенные роли пользователей.

Вы можете использовать панорамное отображение и масштабирование в правом нижнем углу для навигации по сложному графу.

Взаимодействие с узлами графа

Вы можете использовать панель инструментов вверху, чтобы добавлять алерты и наблюдаемые объекты.

Вы можете нажать и перетащить узлы графа, чтобы переставить их.

Вы можете нажать на узел графа, чтобы открыть контекстное меню.

Общие пункты контекстного меню:

• Просмотреть информацию.

  Открывает окно свойств выбранного узла.

• Копировать.

  Копирует значение узла в буфер обмена.

• Скрыть.

  Удаляет выбранный узел из графа.

Пункты контекстного меню, специфичные для событий:

• Дерево процессов.

  Доступно только для определенных типов событий. Создает дерево процессов для события. Индикация события синим цветом указывает на то, что вы можете сгенерировать дерево процессов для этого события.

Пункты контекстного меню, специфичные для алертов:

• Изменить статус.

  Вызывает панель Изменения статуса, которая позволяет изменить статус алерта.

• События.

  Меню, позволяющее добавлять события в качестве узлов графа.

• Наблюдаемые объекты.

  Меню, которое позволяет добавлять общие наблюдаемые объекты в качестве узлов графа.

• Устройства.

  Меню, которое позволяет добавлять общие устройства в качестве узлов графа.

• Пользователи.

  Меню, позволяющее добавлять пользователей в качестве узлов графа.

Пункты контекстного меню, специфичные для наблюдаемых объектов:

• Найти похожие события.

  Вызывает панель Поиск угроз, на которой отображаются похожие события.

• Найти похожие алерты.

  Вызывает панель Алерты, на которой отображаются похожие алерты.

• Запросить статусы Kaspersky TIP.

  Позволяет вам получать подробную информацию о выбранном наблюдаемом объекте в Kaspersky Threat Intelligence Portal (Kaspersky TIP). Подробнее см. в разделе Интеграция с Kaspersky Threat Intelligence Portal.

• Обогатить данные Kaspersky TIP.

  Используйте эту кнопку, чтобы получить подробную информацию о выбранном наблюдаемом объекте в Kaspersky TIP. Подробнее см. в разделе Интеграция с Kaspersky Threat Intelligence Portal.

Правила сегментации, специфичные для объектов:

• Просмотреть сведения в KUMA.

  Открывает Консоль KUMA в новой вкладке браузера, на которой отображаются сведения о правиле.

• Найти похожие алерты.

  Вызывает панель Алерты, на которой отображаются похожие алерты.

Вы также можете добавить наблюдаемые объекты, нажав на алерт или событие. Для этого в открывшемся контекстном меню вам нужно выбрать Наблюдаемые объекты и нажать на наблюдаемый объект. Объект будет добавлен в граф расследования. При необходимости вы можете удалить объект с графа расследования. Для этого вам нужно нажать на наблюдаемый объект и в открывшемся контекстном меню нажать на кнопку Скрыть.

Группировка элементов графа

Граф расследования автоматически группирует алерты с общими параметрами.

Чтобы разгруппировать алерт:

1. Нажмите на элемент графа, соответствующий группе алертов.

   Отобразится таблица со списком алертов.

2. Выберите алерт, который вы хотите отобразить на графе.
3. Нажмите на кнопку Показать на графе в панели инструментов таблицы.

   Алерт будет добавлен в виде узла графа.

4. Если вы хотите скрыть алерт, нажмите на кнопку Скрыть на графе.

Связывание элементов графа

Граф расследования автоматически создает ссылки для новых элементов, если это применимо. Ссылки можно добавлять вручную.

Чтобы добавить ссылку вручную:

1. Нажмите на кнопку Связать узлы.

   Вокруг узлов графа появятся точки соединения.

2. Нажмите на элемент и перетащите его от точки привязки одного узла к точке привязки другого узла.

Ссылки, созданные вручную, имеют цветовую индикацию.

Чтобы удалить вручную созданную ссылку:

1. Наведите курсор на ссылку, созданную вручную. В середине ссылки отобразится значок.
2. Нажмите на значок, чтобы удалить ссылку.

Поиск угроз

Вы можете провести анализ событий для поиска угроз и уязвимостей, которые не были обнаружены автоматически. Для этого вам нужно нажать на кнопку Поиск угроз в панели инструментов вверху или открыть контекстное меню узла графа и выбрать пункт События или Найти похожие события. Откроется панель Поиск угроз. Подробнее см. в статье Поиск угроз.

Экспорт графа

При необходимости вы можете сохранить граф в формате SVG. Для этого вам нужно нажать на кнопку Экспортировать в панели инструментов вверху.

В начало