Просмотр сведений об инциденте

Развернуть все | Свернуть все

Сведения об инциденте – это страница в интерфейсе, которая содержит всю информацию, относящуюся к инциденту, включая свойства инцидента.

Чтобы просмотреть сведения об инциденте:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. В таблице инцидентов нажмите на идентификатор требуемого инцидента.

Откроется окно со сведениями об инциденте.

Панель инструментов в верхней части информации об инциденте позволяет выполнять следующие действия:

• Измените значения полей Имя, Описание и Внешняя ссылка
• Назначить инцидент аналитику
• Изменить статус инцидента
• Изменить приоритет инцидента
• Связать алерты с инцидентом
• Объединить инцидент с другими инцидентами
• Открыть граф расследования
• Выбрать плейбук

Сведения об инциденте содержат следующие разделы:

• Сводная информация

  Этот раздел содержит следующие свойства инцидента:

  • Тип. Тип инцидента.
  • Аналитик. Текущий исполнитель инцидента.
  • Метод создания. Как был создан инцидент, вручную или автоматически.
  • Название. Имя, указанное при создании инцидента. Вы можете нажать на кнопку Изменить, чтобы изменить название инцидента.
  • Тенант. Имя тенанта, у которого был обнаружен инцидент.

  • Активы. Количество пользователей и устройств, которые были затронуты инцидентом.
  • Зарегистрировано. Дата и время создания инцидента.
  • Время обновления. Дата и время последнего изменения в истории инцидента.
  • Первое событие. Дата и время первого события, связанного с инцидентом. Это самое раннее событие в разделе Детали алерта среди всех алертов, связанных с инцидентом.
  • Последнее событие. Дата и время последнего события, связанного с инцидентом. Это последнее событие в разделе Детали алерта среди всех алертов, связанных с инцидентом.
  • Описание. Описание инцидента. Вы можете нажать на кнопку Изменить, чтобы добавить описание.
  • Внешняя ссылка. Ссылка на объект во внешней системе. Вы можете нажать на кнопку Изменить, чтобы указать внешнюю ссылку.
  • Приоритет. Возможные значения: Низкий, Средний, Высокий или Критический. Приоритет инцидентов определяет порядок, в котором инциденты могут расследоваться. Инциденты с приоритетом Критический являются наиболее важными и могут быть расследованы в первую очередь. Вы можете изменить приоритет, нажав на текущее значение приоритета.
  • Критичность. Возможные значения: Низкий, Средний, Высокий или Критический. Уровень важности инцидента показывает, какое влияние этот инцидент может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского".
  • Правила. Правила, которые сработали для регистрации связанных алертов. Вы можете нажать на значок с многоточием рядом с названием правила, чтобы открыть контекстное меню. Используйте это меню, чтобы узнать больше о правиле, найти алерты или инциденты, которые были зарегистрированы этим же правилом, или найти события, инициировавшие правило, в разделе Поиск угроз за период между первым и последним событием инцидента.

    Когда в меню вы нажимаете на раздел Перейти в Поиск угроз, раздел Поиск угроз открывается в той же вкладке. Если вы хотите открыть раздел Поиск угроз в новой вкладке браузера, зажмите клавишу Ctrl и в меню нажмите на раздел Перейти в Поиск угроз.

  • Тактика MITRE. Тактика или несколько тактик, зарегистрированных в алертах, связанных с инцидентом. Тактика определена в базе знаний MITRE ATT&CK.
  • Техника MITRE. Техника или несколько техник, зарегистрированных в алертах, связанных с инцидентом. Методы определены в базе знаний MITRE ATT&CK.
  • Дополнительные данные. Дополнительная информация об инциденте. Вы можете изменить значение в этом поле только с помощью плейбука. Поле отображается, если вы добавили значение.
• Подробная информация

  В разделе Подробнее вы можете отслеживать события телеметрии, связанные с инцидентом.

  Чтобы просмотреть события, связанные с инцидентом, нажмите на кнопку Поиск угроз. В открывшейся таблице отобразятся события алерта, связанные с инцидентом.

  Панель инструментов таблицы событий позволяет выполнить следующие действия:

  • Скачать события. Вы можете нажать на кнопку TSV, чтобы скачать информацию о связанных событиях из TSV-файла.
  • Удалить связь с инцидентом. Вы можете выбрать событие или несколько событий в таблице и нажать на эту кнопку, чтобы удалить связь выбранных событий с алертом, связанным с инцидентом.

  Вы можете вернуться к деталям инцидента, нажав на кнопку Исследование инцидента или на кнопку Назад в вашем браузере.

• Подобные инциденты

  В разделе Подобные инциденты вы можете просмотреть список инцидентов, которые имеют те же затронутые артефакты, что и текущий инцидент. Затронутые артефакты включают как наблюдаемые объекты, так и затронутые устройства алертов, связанных с инцидентом. В списке есть инциденты во всех статусах.

  С помощью вы можете оценить степень сходства текущего инцидента и других инцидентов. Сходство рассчитывается следующим образом:

  Сходство = M / T * 100

  Здесь "M" – количество артефактов, совпадающих в текущем и аналогичном инциденте, "T" – общее количество артефактов в текущем инциденте.

  Если сходство составляет 100%, в текущем инциденте нет ничего нового по сравнению с аналогичным инцидентом. Если сходство равно 0%, текущий инцидент и схожий инцидент полностью различаются. Инциденты, имеющие сходство 0%, не включаются в список.

  Расчетное значение округляется до ближайшего целого числа. Если сходство равно значению от 0% до 1%, приложение не округляет это значение до 0%. В этом случае значение отображается меньше 1%.

  При нажатии на идентификатор инцидента открывается подробная информация об инциденте.

  Настройка списка похожих инцидентов

  Вы можете настроить таблицу, используя следующие параметры:

  • Отфильтруйте инциденты, выбрав период, за который были обновлены инциденты. По умолчанию список содержит инциденты, которые обновлялись за последние 30 дней.
  • Нажмите на значок Параметры столбцов () и выберите, какие столбцы отображать и в каком порядке.
  • Нажмите на значок Фильтр (), выберите и настройте фильтры, которые хотите применить. Если вы выбрали несколько фильтров, они применяются одновременно с помощью логического оператора И.
  • Нажмите на заголовок столбца и выберите параметры сортировки. Вы можете отсортировать инциденты в порядке возрастания или убывания.
• Алерты

  В разделе Алерты вы можете просмотреть список алертов, связанных с текущим инцидентом.

  Нажав на идентификатор алерта, вы можете открыть детали алерта. Вы также можете использовать кнопки панели инструментов, чтобы удалить связь алерта с инцидентом.

• Активы

  В разделе Активы вы можете просмотреть устройства и пользователей, затронутых или вовлеченных в инцидент.

  Таблица активов содержит следующие столбцы:

  • Тип актива.

    Возможные значения: устройство или пользователь.

  • Имя актива.
  • Идентификатор актива.
  • Статус авторизации.

    Этот параметр применяется только к типу актива – устройство. Статус авторизации устройства определяется KICS for Networks. Вы можете изменить статус авторизации, применив соответствующее действие по реагированию к устройству.

  • Имеет признаки.

    Возможные значения: атакующий или атакуемый.

  • Сервер администрирования.

    Сервер администрирования, который управляет устройством.

  • Категории.

    Категории активов, в которые входит актив.

  • Количество.

    Количество устройств и пользователей, затронутых или вовлеченных в инцидент, которые имеют одинаковый идентификатор, тип и имя.

  • Группа администрирования.

    Группа администрирования, к которой принадлежит пользователь.

  • Категория КИИ.

    Информация о том, является ли актив объектом критической информационной инфраструктуры (КИИ). Столбец доступен для отображения, если лицензия приложения включает модуль ГосСОПКА и если вам назначена одна из следующих ролей XDR: Доступ к объектам КИИ, Главный администратор.

    Возможные значения:

    • Объект КИИ первой категории значимости.
    • Объект КИИ второй категории значимости.
    • Объект КИИ третьей категории значимости.
    • Объект КИИ без категории значимости.
    • Информационный ресурс не является объектом КИИ.

  Нажав на имя пользователя или устройства, вы можете:

  • Просмотреть свойства пользователя или устройства.
  • Скопировать имя пользователя или имя устройства в буфер обмена.
  • Выполнить поиск по имени пользователя или идентификатору устройства в других алертах.
  • Выполнить поиск по имени пользователя или идентификатору устройства в других инцидентах.
  • Выполнить поиск по имени пользователя или идентификатору устройства в разделе Поиск угроз за период между первым и последним событием инцидента.

  Нажав на идентификатор пользователя или идентификатор устройства, вы можете:

  • Просмотреть свойства пользователя или устройства.
  • Скопировать идентификатор пользователя или идентификатор устройства в буфер обмена.
  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в других алертах.
  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в других инцидентах.
  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в разделе Поиск угроз за период между первым и последним событием инцидента.

• Дочерние инциденты

  В разделе Дочерние инциденты вы можете просмотреть список инцидентов, которые являются дочерними для просматриваемого вами инцидента.

  Вы можете изменять дочерний инцидент, у которого есть активы, являющиеся объектами КИИ, если вам назначена роль Доступ к объектам КИИ. Роль должна быть назначена в том же тенанте, которому принадлежит дочерний инцидент.

• Файлы

  В разделе Файлы вы можете загружать, скачивать или удалять файлы, связанные с инцидентом, или изменять описание файлов.

  Вы можете загружать файлы любого расширения. Допускаются дубликаты имен файлов. Максимальное количество файлов, которые вы можете прикрепить к инциденту, и максимальный общий размер файлов, вы можете указать в конфигурационном файле.

  Ограничения по умолчанию:

  • Количество файлов не может превышать 100 на один инцидент.
  • Общий размер файла не может превышать 25 МБ на один инцидент.

  Чтобы загрузить файлы, нажмите на кнопку Загрузить и выберите один или несколько файлов. Если вы попытаетесь загрузить файлы, превышающие ограничения, появится панель Загрузка файлов с предупреждающим сообщением. В этой панели вы можете удалять файлы из очереди загрузки до тех пор, пока не исчезнет предупреждающее сообщение, и нажать на кнопку Загрузить, чтобы загрузить файлы. Если вы нажмете на кнопку Загрузить, проигнорировав предупреждающее сообщение, загрузка не будет выполнена, а в списке файлов появятся файлы, которые не удалось загрузить, со значком предупреждения рядом с именами файлов.

  Нажмите на файл, чтобы открыть панель Изменить файл, на которой отображаются сведения о файле. В этой панели вы можете изменить описание файла.

  Используйте флажки для выбора файла или нескольких файлов. Выберите файл и нажмите на кнопку Загрузить, чтобы загрузить его. Выберите файл или несколько файлов и нажмите на кнопку Удалить, чтобы удалить выбранные файлы.

  Для загрузки и удаления файлов и изменения описаний файлов требуется право Запись в функциональной области Алерты и инциденты. Для возможности скачивать файлы требуется право на Чтение в функциональной области Алерты и инциденты.

• Наблюдаемые объекты

  В разделе Наблюдаемые объекты вы можете просмотреть наблюдаемые объекты, которые относятся к алертам, связанными с текущим инцидентом. Наблюдаемые объекты могут включать:

  • MD5-хеш
  • URL
  • Имя домена
  • SHA256
  • UserName
  • HostName
  • IP-адрес;

    Следующие частные IP-адреса не включены в наблюдаемые объекты, связанные с алертами в текущем инциденте:
    От 10.0.0.0 до 10.255.255.255 с маской подсети 255.0.0.0 или /8.
    От 172.16.0.0 до 172.31.255.255 с маской подсети 255.240.0.0 или /12.
    От 192.168.0.0 до 192.168.255.255 с маской подсети 255.255.0.0 или /16.
    От 100.64.0.0 до 100.127.255.255 с маской подсети 255.192.0.0 или /10.

  Нажав на ссылку в столбце Значение, вы можете:

  • Поиск наблюдаемого значения в разделе Поиск угроз за период между первым и последним событием инцидента.

    Если после перехода по ссылке в столбце Значение вы выбираете в меню раздел Перейти в Поиск угроз, раздел Поиск угроз открывается на той же вкладке. Если вы хотите открыть раздел Поиск угроз в новой вкладке браузера, зажмите клавишу Ctrl и в меню нажмите на раздел Перейти в Поиск угроз.

  • Выполнить поиск по значению наблюдаемого объекта в других алертах.
  • Выполнить поиск по значению наблюдаемого объекта в других инцидентах.
  • Скопировать значение наблюдаемого объекта в буфер обмена.

  Панель инструментов этого раздела содержит следующие кнопки:

  • Запросить статусы Kaspersky TIP. Используйте эту кнопку, чтобы получить подробную информацию о выбранном наблюдаемом объекте в Kaspersky Threat Intelligence Portal (Kaspersky TIP). В результате информация обновляется в столбце Статус обновления. Требуется интеграция с Kaspersky Threat Intelligence Portal (премиум-доступ).
  • Обогатить данные Kaspersky TIP. Используйте эту кнопку, чтобы получить подробную информацию обо всех перечисленных наблюдаемых объектах из Kaspersky TIP. В результате информация обновляется в столбце Обогащение. Используйте ссылку в столбце Обогащение, чтобы открыть полученные сведения об обогащении наблюдаемого объекта. Требуется интеграция с Kaspersky Threat Intelligence Portal (премиум-доступ).
  • Поместить на карантин. Используйте эту кнопку, чтобы переместить устройство, на котором находится файл, на карантин. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Добавить правило запрета. Используйте эту кнопку, чтобы добавить правило, запрещающее запуск файла. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Удалить правило запрета. Используйте эту кнопку, чтобы удалить правило, запрещающее запуск файла. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Прервать процесс. Используйте эту кнопку, чтобы прервать процессы, связанные с файлом. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
• История

  В разделе История журнала событий вы можете отслеживать изменения, внесенные в инцидент как в объект:

  • Изменение статуса инцидента.
  • Изменение исполнителя инцидента.
  • Связь алерта с инцидентом.
  • Удаление связи алерта с инцидентом.
  • Создание дочернего инцидента.
  • Объединение инцидента с другими инцидентами.
  • Загрузка файла в инцидент.
  • Удаление файла из инцидента.

  В разделе История реагирований вы можете просмотреть действия по реагированию, выполненные вручную, а также действия, выполненные в рамках плейбука. Таблица содержит следующие столбцы:

  • Время. Время возникновения события.
  • Запущено. Имя пользователя, запустившего действие по реагированию.
  • События. Описание события.
  • Параметры реагирования. Параметры действия по реагированию, указанные в действии по реагированию.
  • Актив. Количество активов, для которых было запущено действие по реагированию. Вы можете перейти по ссылке с номером актива, чтобы просмотреть подробную информацию об активе.
  • Статус действия. Статус выполнения действия по реагированию. В этом столбце могут отображаться следующие значения:
    • Ожидание подтверждения – действие по реагированию ожидает подтверждения для запуска.
    • Запущено – действие по реагированию выполняется.
    • Успешно – действие по реагированию завершено без ошибок или предупреждений.
    • Предупреждение – действие по реагированию завершено с предупреждениями.
    • Ошибка – действие по реагированию завершено с ошибками.
    • Прервано – действие по реагированию завершено, так как пользователь прервал выполнение.
    • Истекло время подтверждения – действие по реагированию завершено, так как время подтверждения для запуска истекло.
    • Отклонено – действие по реагированию завершено, так как пользователь отклонил запуск.
  • Плейбук. Название плейбука, в котором было запущено действие по реагированию. Вы можете перейти по ссылке, чтобы просмотреть подробную информацию о плейбуке.
  • Действие по реагированию. Имя выполненного действия по реагированию.
  • Тип актива. Тип актива, для которого запускается действие по реагированию. Возможные значения: Устройство или Пользователь.
  • Активы тенанта. Тенант, являющийся владельцем актива, для которого было запущено действие по реагированию.
• Комментарии

  В разделе Комментарии вы можете оставлять комментарии, связанные с инцидентом. Например, вы можете написать комментарий о результатах расследования или при изменении свойств инцидента, таких как исполнитель или статус инцидента.

  Вы можете изменять или удалять свои комментарии. Комментарии других пользователей невозможно изменить или удалить.

  Чтобы сохранить комментарий, нажмите на клавишу Enter. Чтобы начать новую строку, нажмите на клавиши Shift + Enter. Чтобы изменить или удалить свой комментарий, используйте кнопки в правом верхнем углу.

  Для возможности оставлять комментарии требуется право на Запись в функциональной области Алерты и инциденты.

В начало