Просмотр деталей алерта

Развернуть все | Свернуть все

Детали алерта – это страница в интерфейсе, которая содержит всю информацию, относящуюся к алерту, включая свойства алерта.

Чтобы просмотреть детали алерта:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
2. В таблице алертов нажмите на идентификатор требуемого алерта.

Отображаются детали алерта.

Панель инструментов в верхней части деталей алерта позволяет выполнять следующие действия:

• Изменять значение поля Внешняя ссылка
• Назначить алерт аналитику
• Изменить статус алерта
• Связать алерт с инцидентом
• Отменить связь алерта с инцидентом
• Выбрать плейбук
• Создать инцидент и привязать к нему алерт

Детали алерта состоят из следующих разделов:

• Сводная информация

  Раздел сводной информации содержит следующие свойства алерта:

  • Аналитик. Аналитик, которому назначен алерт.
  • Тенант. Имя тенанта, в котором зарегистрирован алерт.
  • Активы. Количество учетных записей пользователей и устройств, связанных с алертом.
  • Важность. Возможные значения: Низкий, Средний, Высокий или Критичный. Уровень важности алерта показывает, какое влияние этот алерт может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского".
  • Правила. Правила, которые сработали для регистрации алерта. Вы можете нажать на значок с многоточием рядом с названием правила, чтобы открыть контекстное меню. Используйте это меню, чтобы узнать больше о правиле, найти алерты или инциденты, которые были зарегистрированы этим же правилом, или выполнить поиск событий, инициировавших правило, в разделе Поиск угроз за период между первым и последним событием алерта.

    Когда в меню вы нажимаете на раздел Перейти в Поиск угроз, раздел Поиск угроз открывается в той же вкладке. Если вы хотите открыть раздел Поиск угроз в новой вкладке браузера, зажмите клавишу Ctrl и в меню нажмите на раздел Перейти в Поиск угроз.

  • Зарегистрировано. Дата и время, когда алерт был добавлен в таблицу алертов.
  • Первое событие. Дата и время первого события, связанного с алертом.
  • Последнее событие. Дата и время последнего события, связанного с алертом.
  • Внешняя ссылка. Ссылка на объект во внешней системе (например, ссылка на инцидент Jira). Вы можете нажать на кнопку Изменить, чтобы указать внешнюю ссылку.
  • Связанный с. Инцидент, к которому привязан алерт.
  • Технологии. Технология, зарегистрировавшая алерт.
  • Тактика MITRE. Тактика или несколько тактик, зарегистрированных в алерте. Тактика определена в базе знаний MITRE ATT&CK.
  • Техника MITRE. Техника или несколько техник, зарегистрированных в алерте. Методы определены в базе знаний MITRE ATT&CK.
  • Дополнительные данные. Дополнительная информация об алерте. Вы можете изменить значение в этом поле только с помощью плейбука. Поле отображается, если вы добавили значение.
• Подробная информация

  В разделе Подробнее вы можете отслеживать события телеметрии, связанные с алертом.

  В таблице событий отображается результат поиска, который вы определяете с помощью SQL-запроса.

  Панель инструментов таблицы событий позволяет выполнить следующие действия:

  • Скачать события. Вы можете нажать на эту кнопку, чтобы загрузить информацию о связанных событиях в CSV-файл (в кодировке UTF-8).
  • Поиск в разделе Поиск угроз. Вы можете нажать на эту кнопку, чтобы открыть раздел Поиск угроз. Этот раздел позволяет выполнять поиск по всем событиям, связанным с тенантами, к которым у вас есть доступ, а не только по событиям, связанным с текущим алертом. По умолчанию открытая таблица событий содержит все события, произошедшие в период между первым и последним событием в алерте. Например, вы можете запустить поисковый запрос, чтобы найти все события, в которых было задействовано устройство.

    В разделе Поиск угроз вы можете вручную связать события с алертами. Это может быть полезно, если вы выясните, что некоторые события относятся к алерту, но не были связаны с алертом автоматически. Дополнительные сведения см. в инструкциях по связыванию или удалению связи событий с алертами.

    Вы можете вернуться к деталям инцидента, нажав на кнопку Исследование алерта или нажав на кнопку Назад в вашем браузере.

  • Удалить связь с алертом. Вы можете выбрать событие или несколько событий в таблице и нажать на эту кнопку, чтобы удалить связь выбранных событий с алертом.
• Активы

  В разделе Активы можно просмотреть устройства и пользователей, затронутых алертом или участвующих в нем.

  Таблица активов содержит следующие столбцы:

  • Тип актива.

    Возможные значения: устройство или пользователь.

  • Имя актива.
  • Идентификатор актива.
  • Имеет признаки.

    Возможные значения: атакующий или атакуемый.

  • Статус авторизации.

    Этот параметр применяется только к типу актива – устройство. Статус авторизации устройства определяется KICS for Networks. Вы можете изменить статус авторизации, применив соответствующие действия по реагированию к устройству.

  • Сервер администрирования.

    Сервер администрирования, который управляет устройством.

  • Группа администрирования.

    Группа администрирования, к которой принадлежит пользователь.

  • Категории.

    Категории активов, в которые входит актив.

  • Категория КИИ.

    Информация о том, является ли актив объектом критической информационной инфраструктуры (КИИ). Столбец доступен для отображения, если лицензия приложения включает модуль ГосСОПКА и если вам назначена одна из следующих ролей XDR: Доступ к объектам КИИ, Главный администратор.

    Возможные значения:

    • Объект КИИ первой категории значимости.
    • Объект КИИ второй категории значимости.
    • Объект КИИ третьей категории значимости.
    • Объект КИИ без категории значимости.
    • Информационный ресурс не является объектом КИИ.

  Нажав на имя пользователя или устройства, вы можете:

  • Выполнить поиск по имени пользователя или идентификатору устройства в разделе Поиск угроз за период между первым и последним событием алерта.
  • Выполнить поиск по имени пользователя или идентификатору устройства в других алертах.
  • Выполнить поиск по имени пользователя или идентификатору устройства в других инцидентах.
  • Скопировать имя пользователя или имя устройства в буфер обмена.

  Вы также можете нажать на имя устройства, чтобы открыть свойства устройства.

  Нажав на идентификатор пользователя или идентификатор устройства, вы можете:

  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в разделе Поиск угроз за период между первым и последним событием алерта.
  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в других алертах.
  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в других инцидентах.
  • Скопировать идентификатор пользователя или идентификатор устройства в буфер обмена.

  Вы также можете нажать на идентификатор устройства, чтобы открыть его свойства.

• Наблюдаемые объекты

  В разделе Наблюдаемые объекты вы можете просмотреть наблюдаемые объекты, связанные с алертом. Наблюдаемые объекты могут включать:

  • MD5-хеш
  • IP-адрес
  • URL
  • Имя домена
  • SHA256
  • UserName
  • HostName

  Нажав на ссылку в столбце Значение, вы можете:

  • Поиск наблюдаемого значения в разделе Поиск угроз за период между первым и последним событием алерта.

    Если после перехода по ссылке в столбце Значение вы выбираете в меню раздел Перейти в Поиск угроз, раздел Поиск угроз открывается на той же вкладке. Если вы хотите открыть раздел Поиск угроз в новой вкладке браузера, зажмите клавишу Ctrl и в меню нажмите на раздел Перейти в Поиск угроз.

  • Выполнить поиск по значению наблюдаемого объекта в других алертах.
  • Выполнить поиск по значению наблюдаемого объекта в других инцидентах.
  • Скопировать значение наблюдаемого объекта в буфер обмена.

  Панель инструментов этого раздела содержит следующие кнопки:

  • Запросить статусы Kaspersky TIP. Используйте эту кнопку, чтобы получить подробную информацию о выбранном наблюдаемом объекте в Kaspersky Threat Intelligence Portal (Kaspersky TIP). В результате информация обновляется в столбце Статус обновления. Требуется интеграция с Kaspersky Threat Intelligence Portal (премиум-доступ).
  • Обогатить данные Kaspersky TIP. Используйте эту кнопку, чтобы получить подробную информацию обо всех перечисленных наблюдаемых объектах из Kaspersky TIP. В результате информация обновляется в столбце Обогащение. Используйте ссылку в столбце Обогащение, чтобы открыть полученные сведения об обогащении наблюдаемого объекта. Требуется интеграция с Kaspersky Threat Intelligence Portal (премиум-доступ).
  • Поместить на карантин. Используйте эту кнопку, чтобы переместить устройство, на котором находится файл, на карантин. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Добавить правило запрета. Используйте эту кнопку, чтобы добавить правило, запрещающее запуск файла. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Удалить правило запрета. Используйте эту кнопку, чтобы удалить правило, запрещающее запуск файла. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Прервать процесс. Используйте эту кнопку, чтобы прервать процессы, связанные с файлом. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
• Похожие закрытые алерты

  В разделе Похожие закрытые алерты вы можете просмотреть список закрытых алертов, которые имеют те же затронутые артефакты, что и текущий алерт. Затронутые артефакты включают наблюдаемые объекты и затронутые устройства. Похожие закрытые алерты могут помочь вам изучить текущий алерт.

  С помощью списка вы можете оценить степень сходства текущего алерта и других алертов. Сходство рассчитывается следующим образом:

  Сходство = M / T * 100

  Здесь "M" – количество артефактов, совпадающих в текущем и аналогичном алерте, "T" – общее количество артефактов в текущем алерте.

  Если сходство составляет 100%, в текущем алерте нет ничего нового по сравнению с аналогичным алертом. Если сходство равно 0%, текущий и аналогичный алерт полностью различаются. Алерты, имеющие сходство 0%, не включаются в список.

  Расчетное значение округляется до ближайшего целого числа. Если сходство равно значению от 0% до 1%, приложение не округляет это значение до 0%. В этом случае значение отображается меньше 1%.

  При нажатии на идентификатор алерта открываются детали алерта.

  Настройка списка похожих закрытых алертов

  Вы можете настроить таблицу, используя следующие параметры:

  • Отфильтруйте алерты, выбрав период, за который были обновлены алерты. По умолчанию список содержит алерты, которые обновлялись за последние 30 дней.
  • Нажмите на значок Параметры столбцов () и выберите, какие столбцы отображать и в каком порядке.
  • Нажмите на значок Фильтр (), выберите и настройте фильтры, которые хотите применить. Если вы выбрали несколько фильтров, они применяются одновременно с помощью логического оператора И.
  • Нажмите на заголовок столбца и выберите параметры сортировки. Вы можете отсортировать алерты в порядке возрастания или убывания.

• Подобные инциденты

  В разделе Подобные инциденты вы можете просмотреть список инцидентов, которые имеют те же затронутые артефакты, что и текущий алерт. Затронутые артефакты включают наблюдаемые объекты и затронутые устройства. Подобные инциденты могут помочь вам решить, может ли текущий алерт быть связан с существующим инцидентом.

  С помощью списка вы можете оценить степень сходства текущего алерта и инцидентов. Сходство рассчитывается следующим образом:

  Сходство = M / T * 100

  Здесь "M" – количество артефактов, совпадающих в текущем и аналогичном инциденте, "T" – общее количество артефактов в текущем алерте.

  Если сходство составляет 100%, в текущем алерте нет ничего нового по сравнению с аналогичным инцидентом. Если сходство равно 0%, текущий алерт и схожий инцидент полностью различаются. Инциденты, имеющие сходство 0%, не включаются в список.

  Расчетное значение округляется до ближайшего целого числа. Если сходство равно значению от 0% до 1%, приложение не округляет это значение до 0%. В этом случае значение отображается меньше 1%.

  При нажатии на идентификатор инцидента открывается подробная информация об инциденте.

  Настройка списка похожих инцидентов

  Вы можете настроить таблицу, используя следующие параметры:

  • Отфильтруйте инциденты, выбрав период, за который были обновлены инциденты. По умолчанию список содержит инциденты, которые обновлялись за последние 30 дней.
  • Нажмите на значок Параметры столбцов () и выберите, какие столбцы отображать и в каком порядке.
  • Нажмите на значок Фильтр (), выберите и настройте фильтры, которые хотите применить. Если вы выбрали несколько фильтров, они применяются одновременно с помощью логического оператора И.
  • Нажмите на заголовок столбца и выберите параметры сортировки. Вы можете отсортировать инциденты в порядке возрастания или убывания.
• Комментарии

  В разделе Комментарии вы можете оставлять комментарии, связанные с алертом. Например, вы можете написать комментарий о результатах расследования или при изменении свойств алерта, таких как исполнитель или статус алерта.

  Вы можете изменять или удалять свои комментарии. Комментарии других пользователей невозможно изменить или удалить.

  Чтобы сохранить комментарий, нажмите на клавишу Enter. Чтобы начать новую строку, нажмите на клавиши Shift + Enter. Чтобы изменить или удалить свой комментарий, используйте кнопки в правом верхнем углу.

  Для возможности оставлять комментарии требуется право на Запись в функциональной области Алерты и инциденты.

• История

  В разделе Журнал событий алертов вы можете отслеживать изменения, внесенные в алерт как в объект:

  • изменение статуса алерта;
  • изменение исполнителя алерта;
  • связь алерта с инцидентом;
  • удаление связи между алертом и инцидентом;
  • загрузка файла в алерт;
  • удаление файла из алерта.

  В разделе История реагирований вы можете просмотреть действия по реагированию, выполненные вручную, а также действия, выполненные в рамках плейбука. Таблица содержит следующие столбцы:

  • Время. Время возникновения события.
  • Запущено. Имя пользователя, запустившего действие по реагированию.
  • События. Описание события.
  • Параметры реагирования. Параметры действия по реагированию, указанные в действии по реагированию.
  • Актив. Количество активов, для которых было запущено действие по реагированию. Вы можете перейти по ссылке с номером актива, чтобы просмотреть подробную информацию об активе.
  • Статус действия. Статус выполнения действия по реагированию. В этом столбце могут отображаться следующие значения:
    • Ожидание подтверждения – действие по реагированию ожидает подтверждения для запуска.
    • В обработке – действие по реагированию выполняется.
    • Успешно – действие по реагированию завершено без ошибок или предупреждений.
    • Предупреждение – действие по реагированию завершено с предупреждениями.
    • Ошибка – действие по реагированию завершено с ошибками.
    • Прервано – действие по реагированию завершено, так как пользователь прервал выполнение.
    • Истекло время подтверждения – действие по реагированию завершено, так как время подтверждения для запуска истекло.
    • Отклонено – действие по реагированию завершено, так как пользователь отклонил запуск.
  • Плейбук. Название плейбука, в котором было запущено действие по реагированию. Вы можете перейти по ссылке, чтобы просмотреть подробную информацию о плейбуке.
  • Действие по реагированию. Имя выполненного действия по реагированию.
  • Тип актива. Тип актива, для которого запускается действие по реагированию. Возможные значения: Устройство или Пользователь.
  • Активы тенанта. Тенант, являющийся владельцем актива, для которого было запущено действие по реагированию.