Kaspersky Symphony XDR: Open Single Management Platform
1.2

Содержание

Изменение статуса инцидента

Развернуть все | Свернуть все

Как объект, инцидент имеет статус, который показывает текущее состояние инцидента в его жизненном цикле.

Вы можете изменять статус для своих инцидентов или инцидентов других аналитиков, только если у вас есть право Запись в функциональной области алертов и инцидентов. Для закрытия инцидента требуется право Закрытие в функциональной области алертов и инцидентов.

Если статус инцидента изменен вручную, плейбуки не будут запускаться автоматически. Вы можете запустить плейбук для такого инцидента вручную.

Поддерживаются две модели статусов инцидентов:

  1. Стандартная:
    • Новый

      Когда вы создаете инцидент или он создается автоматически, инцидент имеет статус Новый. Вы можете изменить статус инцидента на В обработке или Закрыт. Когда вы меняете статус Новый на В обработке, инцидент назначается вам автоматически. Когда вы меняете статус Новый на Закрыт и у инцидента нет исполнителя, он автоматически назначается вам.

    • В обработке

      Этот статус означает, что аналитик начал работу над инцидентом или возобновил работу, изменив статус Отложен. Когда вы устанавливаете статус В обработке, инцидент назначается вам автоматически. Изменить статус В обработке можно на любой другой.

    • Отложен

      Этот статус означает, что аналитик приостановил работу над инцидентом. Обычно вы меняете статус Отложен на В обработке, когда работа возобновляется, но также можно изменить статус Отложен на другие статусы.

    • Закрыт

      Вы закрываете инциденты, когда не требуется никакой дополнительной работы над инцидентом. Вы можете закрыть инцидент, по которому принято одно из следующих решений:

      • Верное срабатывание.
      • Ложное срабатывание.
      • Низкий приоритет.

      При закрытии инцидента, связанные обнаружения также получают статус Закрыто и наследуют решение инцидента. Если у инцидента нет исполнителя, закрытый инцидент автоматически назначается вам. Если закрытый инцидент имеет неназначенные связанные обнаружения, эти обнаружения автоматически назначаются вам.

      Статус Закрыт можно изменить только на статус Новый. Если вы хотите вернуть закрытый инцидент в работу, измените его статус следующим образом: Закрыт → Новый → В обработке.

  2. Совместимая с ГОСТ:
    • Новый

      Когда вы создаете инцидент или он создается автоматически, инцидент имеет статус Новый. Вы можете изменить статус инцидента на Анализ. Когда вы меняете статус Новый на Анализ, инцидент назначается вам автоматически.

    • Анализ

      Этот статус означает, что аналитик начал работу над инцидентом и проводит первичный анализ и определение вовлеченных в инцидент элементов информационной инфраструктуры.

      Вы можете изменить статус инцидента на Локализация или Выполнен.

    • Локализация

      Этот статус означает, что выполняется меры по предотвращению дальнейшего распространения инцидента.

      Вы можете изменить статус инцидента на Последствия или Выполнен.

    • Последствия

      Этот статус означает, что выполняется выявление последствий инцидента на вовлеченные в него элементы информационной инфраструктуры.

      Вы можете изменить статус инцидента на Ликвидация или Выполнен.

    • Ликвидация

      Этот статус означает, что выполняется устранение последствий инцидента.

      Вы можете изменить статус инцидента на Выполнен.

    • Выполнен

      Этот статус означает, что проводится оценка полноты выполненных действий на этапах Анализ, Локализация, Последствия и Ликвидация.

      Вы можете изменить статус инцидента на Закрыт, Анализ, Локализация, Последствия, Ликвидация.

    • Закрыт

      Вы можете закрыть инцидент, по которому принято одно из следующих решений:

      • Верное срабатывание.
      • Ложное срабатывание.
      • Низкий приоритет.

      При закрытии инцидента, связанные обнаружения также получают статус Закрыт и наследуют решение инцидента. Если закрытый инцидент имеет неназначенные связанные обнаружения, эти обнаружения автоматически назначаются вам.

Чтобы сменить модель статусов на совместимую с ГОСТ:

  1. В файле docker/compose/osmp.yaml укажите значение переменной окружения OSMP_WORKFLOW_ID.

    OSMP_WORKFLOW_ID: "gost"

  2. В файле /plugins/irp/.env укажите значение переменной FEATURE_GOST_STATUS.

    FEATURE_GOST_STATUS=true

Статусы инцидентов не конвертируются при смене модели статуса. Не рекомендуется менять модель статусов, если у вас есть активные инциденты.

Чтобы изменить статус одного или нескольких инцидентов:

  1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
  2. Выполните одно из следующих действий:
    • Установите флажки напротив инцидентов, которым требуется изменить статус.
    • Перейдите по ссылке с идентификатором инцидента, статус которого вы хотите изменить.

      Откроется окно Сведения об инциденте.

  3. Нажмите на кнопку Изменить статус.
  4. В панели Изменить статус выберите статус, который нужно установить.

    Если вы выберете статус Закрыт, вам нужно выбрать решение и написать короткий комментарий.

    Если вы измените статус инцидента на Закрыт и этот инцидент содержит незавершенные плейбуки или действия по реагированию, все связанные плейбуки и действия по реагированию будут прекращены.

  5. Оставьте комментарий (необязательно).
  6. Нажмите на кнопку Сохранить.

Статусы выбранных инцидентов будут изменены.

См. также:

Об инцидентах

Назначение инцидентов аналитикам
В начало
[Topic 221572]