Об инцидентах

Развернуть все | Свернуть все

Инцидент – это контейнер обнаружений, который обычно указывает на истинно положительную проблему в ИТ-инфраструктуре организации. Инцидент может содержать один или несколько алертов. Используя инциденты, аналитики могут исследовать несколько алертов как одну проблему.

Вы можете создавать инциденты вручную или включить правила автоматического создания инцидентов. После создания инцидента вы можете связать алерты с ним. Вы можете связать с инцидентом до 200 алертов.

После создания инцидентов Open Single Management Platform добавляет их в таблицу инцидентов как объекты, которые должны быть обработаны аналитиками.

Инциденты можно назначить только аналитикам, имеющим право на чтение и изменение алертов и инцидентов.

Вы можете управлять инцидентами как объектами, используя следующие свойства инцидента:

• Статус инцидента.

  Статус инцидента показывает текущее состояние инцидента в его жизненном цикле. Вы можете изменить статус по своему усмотрению.

  Поддерживаются две модели статусов инцидентов. Подробности см. в разделе: Изменение статуса инцидента.

• Уровень важности инцидента.

  Возможные значения: Низкий, Средний, Высокий или Критичный.

  Уровень важности инцидента показывает, какое влияние этот инцидент может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского". Уровень важности инцидента соответствует наивысшему уровню важности связанных алертов и не может быть изменен вручную.

• Приоритет инцидента.

  Возможные значения: Низкий, Средний, Высокий или Критичный.

  Приоритет инцидентов определяет порядок, в котором инциденты должны расследоваться аналитиками. Инциденты с приоритетом Критический являются наиболее важными и должны быть расследованы в первую очередь. Вы можете изменить приоритет инцидента вручную.

• Исполнитель инцидента.

  Владелец инцидента, аналитик, который отвечает за расследование и обработку инцидента. Вы можете изменить исполнителя инцидента в любое время, если параметр Статус не равен Закрыт.

Два или более инцидента могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае вы можете объединить инциденты, чтобы исследовать их как единую проблему.

У каждого инцидента есть детали инцидента, которые предоставляют всю информацию, связанную с инцидентом. Вы можете использовать эту информацию для расследования инцидента или объединения инцидентов.

Для каждого инцидента вы можете создавать дочерние инциденты. Дочерние инциденты позволяют вам исследовать инциденты и реагировать на них в разных тенантах. Вы также можете создать дочерний инцидент другого дочернего инцидента. Родительский инцидент может иметь не более 200 дочерних инцидентов.