Создание дочерних инцидентов

Дочерние инциденты позволяют вам отслеживать ход расследования инцидентов и реагировать на инциденты в разных тенантах. Вы также можете создать дочерний инцидент другого дочернего инцидента. Родительский инцидент может иметь до 200 дочерних инцидентов.

У вас должна быть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Менеджер SOC, Работа с НКЦКИ, Подтверждающий, Взаимодействие с дочерними инцидентами.

Создать дочерний инцидент:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчетыИнциденты.
  2. В таблице инцидентов нажмите на идентификатор требуемого инцидента.

    Откроется окно Сведения об инциденте.

  3. В разделе Дочерние инциденты нажмите на кнопку Создать.

    Откроется окно Создать дочерний инцидент.

  4. При необходимости в поле Название измените название дочернего инцидента.

    По умолчанию название дочернего инцидента включает тег [Child] и название родительского инцидента.

  5. В раскрывающемся списке Тенант выберите тенант, которому будут назначены дочерние инциденты.
  6. В раскрывающемся списке Аналитик начните вводить имя аналитика, а затем выберите его имя из списка.

    Вы также можете выбрать вариант Не назначен.

  7. При необходимости раскрывающемся списке Приоритет измените приоритет инцидента.

    По умолчанию дочерний инцидент наследует приоритет от родительского инцидента.

  8. При необходимости в поле Описание укажите описание дочернего инцидента.
  9. Если вы хотите скопировать всю информацию из родительского инцидента, установите флажок Копировать информацию из родительского инцидента.

    Если этот флажок установлен, все данные, включая наблюдаемые объекты, активы и связанные алерты, будут скопированы из родительского инцидента. Скопированные алерты будут назначены тенанту дочернего инцидента.

    Если этот флажок снят, дочерний инцидент не будет содержать информацию об активах, наблюдаемых и связанных алертах родительского инцидента.

  10. Нажмите на кнопку Создать.

Дочерний инцидент создается и связывается с родительским инцидентом. Дочерний инцидент находится в разделе Дочерние инциденты окна Сведения об инциденте.

Если родительский инцидент имеет такой тип, которого нет у тенанта назначенному дочернему инциденту, то дочернему инциденту назначается тип инцидента по умолчанию и рабочий процесс инцидента по умолчанию. При необходимости вы можете изменить тип инцидента.

В начало