Обнаружение угроз

Open Single Management Platform использует алерты и инциденты в качестве рабочих элементов, которые должны обрабатываться аналитиками.

Разделы Алерты и Инциденты отображаются в главном меню, если выполняются следующие условия:

• У вас есть лицензионный ключ для использования Open Single Management Platform.
• Вы подключены к корневому Серверу администрирования в Консоли OSMP.
• У вас есть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Менеджер SOC, Работа с НКЦКИ, Подтверждающий, Наблюдатель.

Работа с алертами

Этот раздел содержит общую информацию об алертах, их свойствах, типичном жизненном цикле и связи с инцидентами. Предоставленные инструкции помогут вам проанализировать таблицу алертов, изменить свойства алертов в соответствии с текущим состоянием жизненного цикла и объединить алерты в инциденты путем связывания или удаления связи алертов.

Раздел Алерты отображается в главном меню, если выполняются следующие условия:

• У вас есть лицензионный ключ для использования Open Single Management Platform.
• Вы подключены к корневому Серверу администрирования в Консоли OSMP.
• У вас есть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Менеджер SOC, Работа с НКЦКИ, Подтверждающий, Наблюдатель.

Об алертах

Развернуть все | Свернуть все

Алерт – это событие в ИТ-инфраструктуре организации, которое было отмечено Open Single Management Platform как необычное или подозрительное и которое может представлять угрозу безопасности ИТ-инфраструктуры организации.

Open Single Management Platform формирует алерт, когда EPP-программа (например, Kaspersky Endpoint Security для Windows) обнаруживает в инфраструктуре определенную активность, соответствующую условиям, заданным в правилах обнаружения.

Алерт создается в течение 30 секунд после возникновения события корреляции KUMA.

Также вы можете создать алерт вручную из набора событий.

После детектирования Open Single Management Platform добавляет алерты в таблицу алертов как объекты, которые должны быть обработаны аналитиками. Вы не можете удалить алерты. Их можно только закрыть.

Алерты могут быть назначены только аналитикам, имеющим право читать и изменять алерты и инциденты.

Вы можете управлять алертами как объектами, используя следующие свойства алертов:

• Статус алерта.

  Возможные значения: Новый, В обработке, Закрыт или В инциденте.

  Статус алерта показывает текущий статус алерта в его жизненном цикле. Вы можете изменить статус по своему усмотрению, за исключением следующих случаев:

  • Вы не можете вернуть закрытые алерты в статус В обработке. Закрытые алерты можно вернуть только в статус Новый, а затем статус можно изменить на В обработке.
  • Вы не можете установить статус В инциденте вручную. Алерты получают этот статус, когда они связаны с инцидентом.
  • Вы можете установить статус Закрыт только для связанного алерта. Чтобы установить статус Новый или В обработке, необходимо отменить связь между алертом и инцидентом.
• Уровень важности алерта.

  Возможные значения: Низкий, Средний, Высокий или Критичный.

  Уровень важности алерта показывает, какое влияние этот алерт может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского". Уровень важности определяется автоматически и не может быть изменен вручную.

• Ответственный за алерт.

  Владелец алерта, аналитик, который отвечает за расследование алерта. Вы можете изменить ответственного за алерт в любое время. Невозможно изменить исполнителя закрытых алертов.

Вы можете комбинировать и связывать алерты с более крупными рабочими объектами, называемыми инцидентами. Вы можете связать алерты с инцидентами вручную или включить правила для автоматического создания инцидентов и связывания алертов. Используя инциденты, аналитики могут исследовать несколько алертов как одну проблему. Когда вы связываете алерт, ни с чем не связанный в текущий момент, с инцидентом, алерт приобретает статус В инциденте. Вы можете связать алерт, ни с чем не связанный в текущий момент, с другим инцидентом. В этом случае статус алерта В инциденте сохраняется. Вы можете связать с инцидентом не более 200 алертов.

Каждый алерт содержит детали алерта, которые содержат всю информацию, относящуюся к алерту. Вы можете использовать эту информацию для исследования алерта, отслеживания событий, предшествующих алерту, просмотра обнаруженных артефактов, затронутых активов или для привязки алерта к инциденту.

Модель данных алерта

Структура алерта представлена полями, которые содержат значения (см. таблицу ниже). Некоторые поля являются объектами или массивами объектов со своим набором полей (например, поля Assignee и Assets).

Алерт

Исполнитель

MITRETactic

MITRETechnique

Наблюдаемый объект

Правило

Актив

UnkeyedAttachment

Просмотр таблицы алертов

В таблице алертов представлена информация обо всех алертах, зарегистрированных Open Single Management Platform.

Чтобы просмотреть таблицу алертов:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.

   Отобразится таблица алертов.

2. При необходимости отфильтруйте тенанты. По умолчанию фильтр для тенантов выключен и в таблице алертов отображаются алерты, относящиеся ко всем тенантам, к которым у вас есть права доступа. Чтобы применить фильтр для тенантов:
   1. По ссылке рядом с параметром Фильтр тенантов откройте список тенантов.
   2. Установите флажки рядом с требуемыми тенантами.

      В таблице отображаются только алерты, зарегистрированные на выбранных тенантах.

В таблица алертов содержит следующие столбцы:

• ID алерта – уникальный идентификатор алерта.
• Зарегистрировано – дата и время, когда алерт был добавлен в таблицу алертов.
• Время обновления – дата и время последнего изменения в истории алертов.
• Статус – текущий статус алерта.
• Аналитик – текущий исполнитель алерта.
• Тенант – имя тенанта, в котором зарегистрирован алерт.
• Технология – технология, зарегистрировавшая алерт.
• Правила – IOC- или IOA-правила, сработавшие для регистрации алерта.
• Затронутые активы – устройства и пользователи, затронутые алертом.
• Наблюдаемые объекты – артефакты обнаружения, например IP-адреса или MD5-хеши файлов.
• Тип ссылки инцидента – способ добавления алерта в инцидент, вручную или автоматически.
• Критичность – важность алерта.
• Статус изменен – дата и время последнего изменения статуса алерта.
• Объект КИИ – наличие хотя бы одного актива, который включен в алерт и является объектом критической информационной инфраструктуры (КИИ).

  Принимает значение Да, если затронутый актив – это объект КИИ первой, второй, третьей категории значимости или объект КИИ без категории значимости. Столбец доступен для отображения, если лицензия приложения включает модуль ГосСОПКА.

  События, которые содержат объекты КИИ, должны образовывать отдельный алерт. Для этого вам нужно настроить правило агрегации.

Просмотр деталей алерта

Развернуть все | Свернуть все

Детали алерта – это страница в интерфейсе, которая содержит всю информацию, относящуюся к алерту, включая свойства алерта.

Чтобы просмотреть детали алерта:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
2. В таблице алертов нажмите на идентификатор требуемого алерта.

Отображаются детали алерта.

Панель инструментов в верхней части деталей алерта позволяет выполнять следующие действия:

• Изменять значение поля Внешняя ссылка
• Назначить алерт аналитику
• Изменить статус алерта
• Связать алерт с инцидентом
• Отменить связь алерта с инцидентом
• Выбрать плейбук
• Создать инцидент и привязать к нему алерт

Детали алерта состоят из следующих разделов:

• Сводная информация

  Раздел сводной информации содержит следующие свойства алерта:

  • Аналитик. Аналитик, которому назначен алерт.
  • Тенант. Имя тенанта, в котором зарегистрирован алерт.
  • Активы. Количество учетных записей пользователей и устройств, связанных с алертом.
  • Важность. Возможные значения: Низкий, Средний, Высокий или Критичный. Уровень важности алерта показывает, какое влияние этот алерт может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского".
  • Правила. Правила, которые сработали для регистрации алерта. Вы можете нажать на значок с многоточием рядом с названием правила, чтобы открыть контекстное меню. Используйте это меню, чтобы узнать больше о правиле, найти алерты или инциденты, которые были зарегистрированы этим же правилом, или выполнить поиск событий, инициировавших правило, в разделе Поиск угроз за период между первым и последним событием алерта.

    Когда в меню вы нажимаете на раздел Перейти в Поиск угроз, раздел Поиск угроз открывается в той же вкладке. Если вы хотите открыть раздел Поиск угроз в новой вкладке браузера, зажмите клавишу Ctrl и в меню нажмите на раздел Перейти в Поиск угроз.

  • Зарегистрировано. Дата и время, когда алерт был добавлен в таблицу алертов.
  • Первое событие. Дата и время первого события, связанного с алертом.
  • Последнее событие. Дата и время последнего события, связанного с алертом.
  • Внешняя ссылка. Ссылка на объект во внешней системе (например, ссылка на инцидент Jira). Вы можете нажать на кнопку Изменить, чтобы указать внешнюю ссылку.
  • Связанный с. Инцидент, к которому привязан алерт.
  • Технологии. Технология, зарегистрировавшая алерт.
  • Тактика MITRE. Тактика или несколько тактик, зарегистрированных в алерте. Тактика определена в базе знаний MITRE ATT&CK.
  • Техника MITRE. Техника или несколько техник, зарегистрированных в алерте. Методы определены в базе знаний MITRE ATT&CK.
  • Дополнительные данные. Дополнительная информация об алерте. Вы можете изменить значение в этом поле только с помощью плейбука. Поле отображается, если вы добавили значение.
• Подробная информация

  В разделе Подробнее вы можете отслеживать события телеметрии, связанные с алертом.

  В таблице событий отображается результат поиска, который вы определяете с помощью SQL-запроса.

  Панель инструментов таблицы событий позволяет выполнить следующие действия:

  • Скачать события. Вы можете нажать на эту кнопку, чтобы загрузить информацию о связанных событиях в CSV-файл (в кодировке UTF-8).
  • Поиск в разделе Поиск угроз. Вы можете нажать на эту кнопку, чтобы открыть раздел Поиск угроз. Этот раздел позволяет выполнять поиск по всем событиям, связанным с тенантами, к которым у вас есть доступ, а не только по событиям, связанным с текущим алертом. По умолчанию открытая таблица событий содержит все события, произошедшие в период между первым и последним событием в алерте. Например, вы можете запустить поисковый запрос, чтобы найти все события, в которых было задействовано устройство.

    В разделе Поиск угроз вы можете вручную связать события с алертами. Это может быть полезно, если вы выясните, что некоторые события относятся к алерту, но не были связаны с алертом автоматически. Дополнительные сведения см. в инструкциях по связыванию или удалению связи событий с алертами.

    Вы можете вернуться к деталям инцидента, нажав на кнопку Исследование алерта или нажав на кнопку Назад в вашем браузере.

  • Удалить связь с алертом. Вы можете выбрать событие или несколько событий в таблице и нажать на эту кнопку, чтобы удалить связь выбранных событий с алертом.
• Активы

  В разделе Активы можно просмотреть устройства и пользователей, затронутых алертом или участвующих в нем.

  Таблица активов содержит следующие столбцы:

  • Тип актива.

    Возможные значения: устройство или пользователь.

  • Имя актива.
  • Идентификатор актива.
  • Имеет признаки.

    Возможные значения: атакующий или атакуемый.

  • Статус авторизации.

    Этот параметр применяется только к типу актива – устройство. Статус авторизации устройства определяется KICS for Networks. Вы можете изменить статус авторизации, применив соответствующие действия по реагированию к устройству.

  • Сервер администрирования.

    Сервер администрирования, который управляет устройством.

  • Группа администрирования.

    Группа администрирования, к которой принадлежит пользователь.

  • Категории.

    Категории активов, в которые входит актив.

  • Категория КИИ.

    Информация о том, является ли актив объектом критической информационной инфраструктуры (КИИ). Столбец доступен для отображения, если лицензия приложения включает модуль ГосСОПКА и если вам назначена одна из следующих ролей XDR: Доступ к объектам КИИ, Главный администратор.

    Возможные значения:

    • Объект КИИ первой категории значимости.
    • Объект КИИ второй категории значимости.
    • Объект КИИ третьей категории значимости.
    • Объект КИИ без категории значимости.
    • Информационный ресурс не является объектом КИИ.

  Нажав на имя пользователя или устройства, вы можете:

  • Выполнить поиск по имени пользователя или идентификатору устройства в разделе Поиск угроз за период между первым и последним событием алерта.
  • Выполнить поиск по имени пользователя или идентификатору устройства в других алертах.
  • Выполнить поиск по имени пользователя или идентификатору устройства в других инцидентах.
  • Скопировать имя пользователя или имя устройства в буфер обмена.

  Вы также можете нажать на имя устройства, чтобы открыть свойства устройства.

  Нажав на идентификатор пользователя или идентификатор устройства, вы можете:

  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в разделе Поиск угроз за период между первым и последним событием алерта.
  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в других алертах.
  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в других инцидентах.
  • Скопировать идентификатор пользователя или идентификатор устройства в буфер обмена.

  Вы также можете нажать на идентификатор устройства, чтобы открыть его свойства.

• Наблюдаемые объекты

  В разделе Наблюдаемые объекты вы можете просмотреть наблюдаемые объекты, связанные с алертом. Наблюдаемые объекты могут включать:

  • MD5-хеш
  • IP-адрес
  • URL
  • Имя домена
  • SHA256
  • UserName
  • HostName

  Нажав на ссылку в столбце Значение, вы можете:

  • Поиск наблюдаемого значения в разделе Поиск угроз за период между первым и последним событием алерта.

    Если после перехода по ссылке в столбце Значение вы выбираете в меню раздел Перейти в Поиск угроз, раздел Поиск угроз открывается на той же вкладке. Если вы хотите открыть раздел Поиск угроз в новой вкладке браузера, зажмите клавишу Ctrl и в меню нажмите на раздел Перейти в Поиск угроз.

  • Выполнить поиск по значению наблюдаемого объекта в других алертах.
  • Выполнить поиск по значению наблюдаемого объекта в других инцидентах.
  • Скопировать значение наблюдаемого объекта в буфер обмена.

  Панель инструментов этого раздела содержит следующие кнопки:

  • Запросить статусы Kaspersky TIP. Используйте эту кнопку, чтобы получить подробную информацию о выбранном наблюдаемом объекте в Kaspersky Threat Intelligence Portal (Kaspersky TIP). В результате информация обновляется в столбце Статус обновления. Требуется интеграция с Kaspersky Threat Intelligence Portal (премиум-доступ).
  • Обогатить данные Kaspersky TIP. Используйте эту кнопку, чтобы получить подробную информацию обо всех перечисленных наблюдаемых объектах из Kaspersky TIP. В результате информация обновляется в столбце Обогащение. Используйте ссылку в столбце Обогащение, чтобы открыть полученные сведения об обогащении наблюдаемого объекта. Требуется интеграция с Kaspersky Threat Intelligence Portal (премиум-доступ).
  • Поместить на карантин. Используйте эту кнопку, чтобы переместить устройство, на котором находится файл, на карантин. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Добавить правило запрета. Используйте эту кнопку, чтобы добавить правило, запрещающее запуск файла. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Удалить правило запрета. Используйте эту кнопку, чтобы удалить правило, запрещающее запуск файла. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Прервать процесс. Используйте эту кнопку, чтобы прервать процессы, связанные с файлом. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
• Похожие закрытые алерты

  В разделе Похожие закрытые алерты вы можете просмотреть список закрытых алертов, которые имеют те же затронутые артефакты, что и текущий алерт. Затронутые артефакты включают наблюдаемые объекты и затронутые устройства. Похожие закрытые алерты могут помочь вам изучить текущий алерт.

  С помощью списка вы можете оценить степень сходства текущего алерта и других алертов. Сходство рассчитывается следующим образом:

  Сходство = M / T * 100

  Здесь "M" – количество артефактов, совпадающих в текущем и аналогичном алерте, "T" – общее количество артефактов в текущем алерте.

  Если сходство составляет 100%, в текущем алерте нет ничего нового по сравнению с аналогичным алертом. Если сходство равно 0%, текущий и аналогичный алерт полностью различаются. Алерты, имеющие сходство 0%, не включаются в список.

  Расчетное значение округляется до ближайшего целого числа. Если сходство равно значению от 0% до 1%, приложение не округляет это значение до 0%. В этом случае значение отображается меньше 1%.

  При нажатии на идентификатор алерта открываются детали алерта.

  Настройка списка похожих закрытых алертов

  Вы можете настроить таблицу, используя следующие параметры:

  • Отфильтруйте алерты, выбрав период, за который были обновлены алерты. По умолчанию список содержит алерты, которые обновлялись за последние 30 дней.
  • Нажмите на значок Параметры столбцов () и выберите, какие столбцы отображать и в каком порядке.
  • Нажмите на значок Фильтр (), выберите и настройте фильтры, которые хотите применить. Если вы выбрали несколько фильтров, они применяются одновременно с помощью логического оператора И.
  • Нажмите на заголовок столбца и выберите параметры сортировки. Вы можете отсортировать алерты в порядке возрастания или убывания.

• Подобные инциденты

  В разделе Подобные инциденты вы можете просмотреть список инцидентов, которые имеют те же затронутые артефакты, что и текущий алерт. Затронутые артефакты включают наблюдаемые объекты и затронутые устройства. Подобные инциденты могут помочь вам решить, может ли текущий алерт быть связан с существующим инцидентом.

  С помощью списка вы можете оценить степень сходства текущего алерта и инцидентов. Сходство рассчитывается следующим образом:

  Сходство = M / T * 100

  Здесь "M" – количество артефактов, совпадающих в текущем и аналогичном инциденте, "T" – общее количество артефактов в текущем алерте.

  Если сходство составляет 100%, в текущем алерте нет ничего нового по сравнению с аналогичным инцидентом. Если сходство равно 0%, текущий алерт и схожий инцидент полностью различаются. Инциденты, имеющие сходство 0%, не включаются в список.

  Расчетное значение округляется до ближайшего целого числа. Если сходство равно значению от 0% до 1%, приложение не округляет это значение до 0%. В этом случае значение отображается меньше 1%.

  При нажатии на идентификатор инцидента открывается подробная информация об инциденте.

  Настройка списка похожих инцидентов

  Вы можете настроить таблицу, используя следующие параметры:

  • Отфильтруйте инциденты, выбрав период, за который были обновлены инциденты. По умолчанию список содержит инциденты, которые обновлялись за последние 30 дней.
  • Нажмите на значок Параметры столбцов () и выберите, какие столбцы отображать и в каком порядке.
  • Нажмите на значок Фильтр (), выберите и настройте фильтры, которые хотите применить. Если вы выбрали несколько фильтров, они применяются одновременно с помощью логического оператора И.
  • Нажмите на заголовок столбца и выберите параметры сортировки. Вы можете отсортировать инциденты в порядке возрастания или убывания.
• Комментарии

  В разделе Комментарии вы можете оставлять комментарии, связанные с алертом. Например, вы можете написать комментарий о результатах расследования или при изменении свойств алерта, таких как исполнитель или статус алерта.

  Вы можете изменять или удалять свои комментарии. Комментарии других пользователей невозможно изменить или удалить.

  Чтобы сохранить комментарий, нажмите на клавишу Enter. Чтобы начать новую строку, нажмите на клавиши Shift + Enter. Чтобы изменить или удалить свой комментарий, используйте кнопки в правом верхнем углу.

  Для возможности оставлять комментарии требуется право на Запись в функциональной области Алерты и инциденты.

• История

  В разделе Журнал событий алертов вы можете отслеживать изменения, внесенные в алерт как в объект:

  • изменение статуса алерта;
  • изменение исполнителя алерта;
  • связь алерта с инцидентом;
  • удаление связи между алертом и инцидентом;
  • загрузка файла в алерт;
  • удаление файла из алерта.

  В разделе История реагирований вы можете просмотреть действия по реагированию, выполненные вручную, а также действия, выполненные в рамках плейбука. Таблица содержит следующие столбцы:

  • Время. Время возникновения события.
  • Запущено. Имя пользователя, запустившего действие по реагированию.
  • События. Описание события.
  • Параметры реагирования. Параметры действия по реагированию, указанные в действии по реагированию.
  • Актив. Количество активов, для которых было запущено действие по реагированию. Вы можете перейти по ссылке с номером актива, чтобы просмотреть подробную информацию об активе.
  • Статус действия. Статус выполнения действия по реагированию. В этом столбце могут отображаться следующие значения:
    • Ожидание подтверждения – действие по реагированию ожидает подтверждения для запуска.
    • В обработке – действие по реагированию выполняется.
    • Успешно – действие по реагированию завершено без ошибок или предупреждений.
    • Предупреждение – действие по реагированию завершено с предупреждениями.
    • Ошибка – действие по реагированию завершено с ошибками.
    • Прервано – действие по реагированию завершено, так как пользователь прервал выполнение.
    • Истекло время подтверждения – действие по реагированию завершено, так как время подтверждения для запуска истекло.
    • Отклонено – действие по реагированию завершено, так как пользователь отклонил запуск.
  • Плейбук. Название плейбука, в котором было запущено действие по реагированию. Вы можете перейти по ссылке, чтобы просмотреть подробную информацию о плейбуке.
  • Действие по реагированию. Имя выполненного действия по реагированию.
  • Тип актива. Тип актива, для которого запускается действие по реагированию. Возможные значения: Устройство или Пользователь.
  • Активы тенанта. Тенант, являющийся владельцем актива, для которого было запущено действие по реагированию.

Назначение алертов аналитикам

Как объект, алерт может быть назначен аналитику SOC для проверки и возможного расследования. Вы можете изменить исполнителя активного алерта в любое время. Вы не можете изменить исполнителя закрытого алерта.

Алерты могут быть назначены только аналитикам, имеющим право читать и изменять алерты и инциденты.

Чтобы назначить аналитику алерты:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
2. Установите флажки рядом с алертами, которые вы хотите назначить аналитику.

   Вам нужно выбрать только алерты, обнаруженные в одном тенанте. Иначе кнопка Назначить будет неактивна.

   Также вы можете назначить алерт аналитику из деталей алерта. Чтобы открыть детали алерта, перейдите по ссылке с нужным идентификатором алерта.

3. Нажмите на кнопку Назначить.
4. В открывшемся окне Назначить аналитику начните вводить имя аналитика или электронную почту, а затем выберите аналитика из списка.

   Вы также можете выбрать вариант Не назначен для всех алертов, кроме алертов со статусом Закрыт.

5. Нажмите на кнопку Назначить.

Алерты назначены аналитику.

Также аналитику можно назначить алерт с помощью плейбуков.

Изменение статуса алерта

Развернуть все | Свернуть все

Как объект, алерт имеет статус, который показывает текущий статус алерта в его жизненном цикле.

Вы можете изменять статусы алертов для своих алертов или алертов других аналитиков, только если у вас есть право доступа для чтения и изменения алертов и инцидентов.

Если статус алерта изменен вручную, плейбуки не будут запускаться автоматически. Вы можете запустить плейбук для такого алерта вручную.

Алерт может иметь один из следующих статусов:

• Новое.

  Когда Open Single Management Platform регистрирует новый алерт, он имеет статус Новый. Вы можете изменить статус инцидента на В обработке или Закрыт. Когда вы меняете статус Новый на Закрыт и у алерта нет исполнителя, оно автоматически назначается вам.

• В обработке.

  Этот статус означает, что аналитик начал работу над инцидентом или возобновил работу, изменив статус Отложен. Когда вы устанавливаете статус В обработке, инцидент назначается вам автоматически. Изменить статус В обработке можно на любой другой.

• Закрыто.

  Истинно положительные алерты должны быть связаны с инцидентами и расследоваться в рамках инцидентов. Когда вы закрываете инцидент, связанные алерты также переходят в статус Закрыт. Вы закрываете несвязанный алерт только как ложное срабатывание или как алерт с низким приоритетом. Когда вы закрываете алерт, вам нужно выбрать решение.

  Статус Закрыт можно изменить только на статус Новый. Если вы хотите вернуть закрытый алерт в работу, измените его статус следующим образом: Закрыт → Новый → В обработке.

  Когда вы закрываете алерт, связанное с инцидентом, автоматически удаляется связь с инцидентом. Если алерт, который вы собираетесь закрыть, никому не назначен, он автоматически назначается аналитику, который закрывает алерт.

• В инциденте.

  Этот статус означает, что аналитик приостановил работу над инцидентом. Обычно вы меняете статус Отложен на В обработке, когда работа возобновляется, но также можно изменить статус Отложен на другие статусы.

Чтобы изменить статус одного или нескольких алертов:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
2. Выполните одно из следующих действий:
   • Установите флажки напротив алертов, статус которых вы хотите изменить.
   • Перейдите по ссылке с идентификатором алерта, статус которого вы хотите изменить.

     Откроется окно Детали алерта.

3. Нажмите на кнопку Изменить статус.
4. В панели Изменить статус выберите статус, который нужно установить.

   Если вы выбрали статус Закрыт, вам нужно выбрать решение.

   Если вы измените статус алерта на Закрыт и этот алерт содержит незавершенные плейбуки или действия по реагированию, все связанные плейбуки и действия по реагированию будут прекращены.

5. Нажмите на кнопку Сохранить.

Статусы выбранных алертов будут изменены.

Если алерт добавлен на граф расследования, вы также можете изменить статус алерта на графе.

Также статус алерта можно изменить с помощью плейбуков.

Создание алертов вручную

Вы можете создать алерт вручную из набора событий. Вы можете использовать эту функцию для проверки гипотетического инцидента, который не был обнаружен автоматически.

Если алерт создан вручную, плейбуки не запускаются автоматически. Вы можете запустить плейбук для такого алерта вручную.

Чтобы создать алерт вручную:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Поиск угроз.
2. Выберите события, для которых вы хотите создать алерт. События должны принадлежать одному тенанту.
3. Нажмите на кнопку Создать алерт.

   Откроется окно с созданным алертом. Значение поля Критичность соответствует максимальной критичности среди выбранных событий.

Алерты, созданные вручную, имеют пустое значение Правила в таблице Мониторинг и отчеты → Алерты.

Связь алертов с инцидентами

Вы можете связать один или несколько алертов с инцидентом, по следующим причинам:

• Несколько алертов можно интерпретировать как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае алерты в инциденте можно исследовать как отдельную проблему. Вы можете связать с инцидентом до 200 алертов.
• Один алерт может быть связан с инцидентом, если он определен как истинно положительный.

Вы можете связать алерт с инцидентом, если он имеет любой статус отличный от Закрыт. Алерт теряет свой текущий статус и приобретает статус В инциденте при связывании с инцидентом. Если вы связываете алерты, которые в настоящее время связаны с другими инцидентами, удаляется связь алертов с текущими инцидентами, так как алерт может быть связан только с одним инцидентом.

Алерты могут быть связаны только с инцидентом, принадлежащим тому же тенанту.

Алерты могут быть связаны с инцидентом вручную или автоматически.

Связывание алертов вручную

Чтобы связать алерты с существующим или новым инцидентом:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
2. Установите флажки рядом с событиями, которые требуется связать с инцидентом.
3. Если вы хотите связать алерты с существующим инцидентом:
   1. Нажмите на кнопку Связать с инцидентом.
   2. Выберите инцидент, с которым нужно связать алерты.

   Вы также можете нажать на алерт, чтобы отобразить сведения алерта, и нажать на кнопку Связать с инцидентом в панели инструментов.

4. Если вы хотите связать алерты с новым инцидентом:
   1. Нажмите на кнопку Создать инцидент.
   2. Заполните свойства нового инцидента: имя, исполнитель, приоритет и описание.

   Вы также можете нажать на алерт, чтобы отобразить сведения алерта, и нажать на кнопку Создать инцидент в панели инструментов.

5. Нажмите на кнопку Сохранить.

Выбранные алерты связаны с существующим или новым инцидентом.

Автоматическая привязка алертов

Если вы хотите, чтобы алерты автоматически связывались с инцидентом, вам нужно настроить правила сегментации.

Удаление связи алертов с инцидентами

Вам может потребоваться удалить связь между алертом и инцидентом, например, если анализ и расследование алертов показали, что алерт не связан с другими алертами в инциденте. При удалении связи алерта с инцидентом Open Single Management Platform выполняет следующие действия:

• Обновляет все данные, связанные с инцидентом, чтобы отразить, что алерт больше не относится к инциденту. Например, вы можете просмотреть изменения в деталях инцидента.
• Сбрасывает статус несвязанных алертов на Новый.

Чтобы удалить связь алерта с инцидентом:

1. Откройте детали алерта.
2. Нажмите на кнопку Удалить связь с инцидентом в панели инструментов.

   Откроется окно Удалить связь с алертами.

3. Если вы хотите сменить исполнителя, выберите Назначить алерты и укажите нового исполнителя.
4. Если вы хотите добавить комментарий, укажите его в разделе Комментарий. Указанный вами комментарий отображается в столбце Сведения в разделе История.

Для выбранных алертов удалена связь с инцидентом.

Связывание событий с алертами

Если во время расследования вы обнаружили событие, связанное с исследуемым алертом, вы можете связать это событие с алертом вручную.

Вы можете связать событие с алертом, если он имеет любой статус отличный от Закрыт.

Чтобы привязать событие к алерту:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
2. В списке алертов перейдите по ссылке с идентификатором алерта, с которым вы хотите связать событие.

   Откроется окно Детали алерта.

3. Перейдите в раздел Подробнее и нажмите на кнопку Найти в разделе Поиск угроз.

   Откроется раздел Поиск угроз. По умолчанию таблица событий содержит события, связанные с выбранным алертом.

   Таблица событий содержит только события, связанные с тенантами, к которым у вас есть доступ.

4. В верхней части окна откройте первый раскрывающийся список и выберите Хранилище.
5. Откройте третий раскрывающийся список и укажите период.

   Вы можете выбрать предопределенные периоды относительно текущей даты и времени и указать необходимый период, используя поля Начало периода и Окончание периода или выбрав даты в календаре.

6. Нажмите на кнопку Выполнить запрос.
7. В обновленном списке событий выберите событие, которое вы хотите связать с алертом и нажмите на Связать с алертом.

Выбранные события привязаны к алерту.

Удаление связи событий с алертами

Вам может потребоваться удалить связь между событием и алертом, например, если анализ и расследование событий показали, что событие не связано с алертами.

Чтобы удалить связь события с алертом:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
2. В списке алертов перейдите по ссылке с идентификатором алерта, для которого вы хотите удалить связь с событием.

   Откроется окно Детали алерта.

3. В разделе Подробнее выберите события, для которых вы хотите удалить связь, а затем нажмите на кнопку Удалить связь с алертом.

Для выбранных событий удалена связь с алертом.

Изменение алертов с использованием плейбуков

Развернуть все | Свернуть все

Open Single Management Platform позволяет изменять инциденты вручную или с использованием плейбуков. При создании плейбука, вы можете настроить алгоритм плейбука для изменения свойств алерта.

Чтобы изменить алерт с помощью плейбука, вам должна быть присвоена одна из следующих XDR-ролей: Главный администратор, Администратор SOC, Аналитик 1-го уровня, Аналитик 2-го уровня или Администратор тенанта.

Вы не можете изменять алерты, которые имеют статус Закрыт.

Вы можете изменить следующие свойства алерта с помощью плейбука:

• Исполнитель.
• Статус алерта.
• Комментарий.
• Атрибут ExternalReference.
• Дополнительный атрибут данных.

Примеры выражений, которые вы можете использовать в алгоритме плейбука для изменения свойств алерта:

• Назначение алерта пользователю
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "assignAlert", "params": { "assignee": { "id": "user_ID" } } } } } ] }

  Во время изменения исполнителя в алгоритме плейбука отображаются подсказки. Для удобства подсказки содержат строку поиска, где вы можете выполнить поиск по имени. Если вы хотите указать исполнителя инцидента, вы можете выполнить поиск соответствующей записи по имени пользователя, и этот идентификатор будет указан в алгоритме.

• Отмена назначения алерта пользователю
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "assignAlert", "params": { "assignee": { "id": "nobody" } } } } } ] }
• Изменение статуса алерта

  Чтобы изменить статус алерта на В обработке:

  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setAlertStatus", "params": { "status": "inProgress" } } } } ] }

  Чтобы изменить статус алерта на Закрыт:

  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setAlertStatus", "params": { "status": "closed", "statusResolution": "truePositive" } } } } ] }

  Вы также можете указать следующие значения для параметра statusResolution: falsePositive и lowPriority.

  Когда вы изменяете статус алерта в алгоритме плейбука, могут отображаться следующие подсказки: new, inProgress, closed.

• Добавление комментария к алерту
  "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "addCommentToAlert", "params": { "text": "${ \"New comment for alert with ID: \" + alert.InternalID }" } } } } ] }
• Изменение атрибута ExternalReference.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setAlertExternalRef", "params": { "externalRef": "${ \"Appended externalRef for alert with ID: \" + alert.InternalID }", "mode": "append" } } } } ] }

  Чтобы заменить текущее значение атрибута ExternalReference в алерте значением из плейбука, укажите значение replace для параметра mode.

• Изменение Дополнительного атрибута данных.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "addAlertAdditionalData", "params": { "data": "${ {\"customKey_1 (alert.InternalID)\": (\"customValue_1 (\" + alert.InternalID + \")\" )} }", "mode": "append" } } } } ] }

  Чтобы заменить текущее значение атрибута AdditionalData в алерте значением из плейбука, укажите значение replace для параметра mode.

Работа с алертами на графе расследования

На графе расследования вы можете выполнять следующие действия с алертами:

• Добавлять алерт на граф.
• Скрывать алерт с графа.
• Просматривать детали алерта, выбрав соответствующий элемент из контекстного меню узла алерта.
• Изменять статус алерта.
• Просматривать события, связанные с алертом.
• Просматривать активы, связанные с алертом.
• Просматривать наблюдаемые объекты, связанные с алертом.

Добавление алертов на граф расследования

Вы можете добавить алерт на граф расследования одним из следующих способов:

• Из общей таблицы алертов, которая открывается при нажатии на кнопку Добавить алерт на графе расследования. Вам нужно установить флажки рядом с алертами, которые вы хотите отобразить на графе расследования, и нажать на кнопку Показать на графе.
• Из таблицы похожих алертов.

Чтобы добавить алерты на граф расследования из таблицы похожих алертов:

1. Выполните одно из следующих действий:
   • Если на графе расследования у вас есть актив, наблюдаемый объект или правило сегментации, нажмите на его узел, а затем в контекстном меню выберите пункт Найти похожие алерты.
   • Если на графе расследования у вас есть событие, нажмите на его узел, а затем в контекстном меню выберите пункт Просмотреть информацию. В открывшемся окне нажмите на кнопку Показать на графе.
   • Если на графе расследования у вас есть алерт, нажмите на его узел и в контекстном меню выберите пункт События. В таблице событий нажмите на событие, детали которого вы хотите открыть. Если детали события содержат наблюдаемый объект, актив или правило сегментации, нажмите на ссылку в соответствующем поле, а затем в контекстном меню выберите пункт Найти похожие алерты.
   • На графе расследования нажмите на кнопку Поиск угроз, а затем в общей таблице событий нажмите на событие, детали которого вы хотите открыть. Если детали события содержат наблюдаемый объект, актив или правило сегментации, нажмите на ссылку в соответствующем поле, а затем в контекстном меню выберите пункт Найти похожие алерты.

   Отобразится таблица похожих алертов.

2. Установите флажки рядом с алертами, которые вы хотите отобразить на графе расследования, и нажмите на кнопку Показать на графе.

Выбранные алерты будут добавлены на граф расследования.

Скрытие алертов на графе расследования

Вы можете скрыть алерты на графе расследования одним из следующих способов:

• Нажать на узел алерта и в контекстном меню выбрать пункт Скрыть.
• С помощью таблицы алертов.

Чтобы скрыть алерты на графе с помощью таблицы алертов:

1. Выполните одно из следующих действий:
   • В панели инструментов в верхней части графа расследования нажмите на кнопку Добавить алерт.
   • Если на графе отображаются узлы наблюдаемых объектов, активов или событий, нажмите на узел, для которого вы хотите добавить алерт, а затем в контекстном меню выберите пункт Найти похожие алерты.

   Отобразится таблица алертов.

2. Установите флажки рядом с алертами, которые вы хотите скрыть на графе расследования, и нажмите на кнопку Показать на графе.

Выбранные алерты и их ссылки будут скрыты на графе расследования. Связанные узлы останутся на графе расследования.

Изменение статуса алерта

Чтобы изменить статус алерта:

1. Нажмите на узел алерта и в контекстном меню выберите пункт Изменить статус.
2. В открывшейся панели Смена статуса, выберите статус и нажмите на кнопку Сохранить.

   Если вы выбрали статус Закрыт, вам нужно выбрать решение.

Статусы выбранных алертов будут изменены.

Просмотр событий, связанных с алертом

Чтобы просмотреть события, связанные с алертом, выполните одно из следующих действий:

• Нажмите на цифру рядом с узлом алерта, события которого вы хотите отобразить. Цифра показывает количество событий, связанных с алертом.
• Нажмите на узел алерта, события которого вы хотите отобразить, и в контекстном меню выберите пункт События.

Если вы хотите добавить события из таблицы на граф расследования, установите флажки рядом с событиями и нажмите на кнопку Показать на графе.

Если вы хотите скрыть события на графе расследования, установите флажки рядом с событиями и нажмите на кнопку Скрыть на графе.

Просмотр активов, связанных с алертом

Чтобы просмотреть активы, связанные с алертом, нажмите на узел алерта.

В контекстном меню цифры рядом с элементами Устройства и Пользователи показывают количество устройств и пользователей, связанных с алертом.

Если вы хотите добавить устройства или пользователей на граф расследования, выберите соответствующий пункт меню.

Просмотр наблюдаемых объектов, связанных с алертом

Чтобы просмотреть наблюдаемые объекты, связанные с алертом, нажмите на узел алерта и в контекстном меню выберите пункт События.

В открывшемся меню цифры рядом с элементами показывают количество наблюдаемых объектов, связанных с алертом.

Если вы хотите добавить наблюдаемый объект (например, Хеш, Домен, IP-адрес) на граф расследования, выберите соответствующий пункт меню.

Правила агрегации

Вы можете использовать правила агрегации для объединения корреляционных событий в алертах. Рекомендуется использовать правила сегментации вместе с правилами агрегации для определения более точных правил создания инцидентов.

Стандартное поведение Open Single Management Platform заключается в объединении событий, имеющих один и тот же идентификатор правила, со следующими ограничениями:

• по времени (в течение 30 секунд);
• по количеству событий (100 событий);
• по количеству активов (100 активов);
• по количеству наблюдаемых объектов (200 наблюдаемых объектов);
• по общему объему событий, 4 МБ.

Вы можете использовать REST API для настройки правил агрегации.

Правила агрегации. Пример

В таблице ниже описано, как проводить тестирование на проникновение для проверки системы защиты с предопределенными IP и учетными записями пользователей.

Правило 1. Тестирование на проникновение для проверки системы защиты

Правило 2. Тестирование на проникновение для проверки системы защиты с помощью учетной записи пользователя

Правило 3. Правило агрегации

Правила агрегации и сегментации. Пример

В таблица ниже описано, как объединить алерты, имеющие одинаковый идентификатор правила, в двух инцидентах на основе префикса имени пользователя.

Правило агрегации

Правило сегментации

Работа с инцидентами

В этом разделе содержится общая информация об инцидентах, их свойствах, типичном жизненном цикле и связи с алертами. В этом разделе также приведены инструкции по созданию инцидентов, анализу таблицы инцидентов, изменению свойств инцидентов в соответствии с текущим состоянием в жизненном цикле и объединению инцидентов.

Раздел Инциденты отображается в главном меню, если выполняются следующие условия:

• У вас есть лицензионный ключ для использования Open Single Management Platform.
• Вы подключены к корневому Серверу администрирования в Консоли OSMP.
• У вас есть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Менеджер SOC, Работа с НКЦКИ, Подтверждающий, Наблюдатель.

Об инцидентах

Развернуть все | Свернуть все

Инцидент – это контейнер обнаружений, который обычно указывает на истинно положительную проблему в ИТ-инфраструктуре организации. Инцидент может содержать один или несколько алертов. Используя инциденты, аналитики могут исследовать несколько алертов как одну проблему.

Вы можете создавать инциденты вручную или включить правила автоматического создания инцидентов. После создания инцидента вы можете связать алерты с ним. Вы можете связать с инцидентом до 200 алертов.

После создания инцидентов Open Single Management Platform добавляет их в таблицу инцидентов как объекты, которые должны быть обработаны аналитиками.

Инциденты можно назначить только аналитикам, имеющим право на чтение и изменение алертов и инцидентов.

Вы можете управлять инцидентами как объектами, используя следующие свойства инцидента:

• Статус инцидента.

  Статус инцидента показывает текущее состояние инцидента в его жизненном цикле. Вы можете изменить статус по своему усмотрению.

  Поддерживаются две модели статусов инцидентов. Подробности см. в разделе: Изменение статуса инцидента.

• Уровень важности инцидента.

  Возможные значения: Низкий, Средний, Высокий или Критичный.

  Уровень важности инцидента показывает, какое влияние этот инцидент может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского". Уровень важности инцидента соответствует наивысшему уровню важности связанных алертов и не может быть изменен вручную.

• Приоритет инцидента.

  Возможные значения: Низкий, Средний, Высокий или Критичный.

  Приоритет инцидентов определяет порядок, в котором инциденты должны расследоваться аналитиками. Инциденты с приоритетом Критический являются наиболее важными и должны быть расследованы в первую очередь. Вы можете изменить приоритет инцидента вручную.

• Исполнитель инцидента.

  Владелец инцидента, аналитик, который отвечает за расследование и обработку инцидента. Вы можете изменить исполнителя инцидента в любое время, если параметр Статус не равен Закрыт.

Два или более инцидента могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае вы можете объединить инциденты, чтобы исследовать их как единую проблему.

У каждого инцидента есть детали инцидента, которые предоставляют всю информацию, связанную с инцидентом. Вы можете использовать эту информацию для расследования инцидента или объединения инцидентов.

Для каждого инцидента вы можете создавать дочерние инциденты. Дочерние инциденты позволяют вам исследовать инциденты и реагировать на них в разных тенантах. Вы также можете создать дочерний инцидент другого дочернего инцидента. Родительский инцидент может иметь не более 200 дочерних инцидентов.

Модель данных инцидента

Структура инцидента представлена полями, которые содержат значения (см. таблицу ниже). Некоторые поля являются объектами или массивами объектов со своим набором полей (например, поля Assignee и Alerts).

Инцидент

IncidentType

Исполнитель

UnkeyedAttachment

Создание инцидентов

Развернуть все | Свернуть все

Вы можете создавать инциденты вручную или включить правила автоматического создания инцидентов. В этой статье описано, как создавать инциденты вручную.

Чтобы иметь возможность создавать инциденты, у вас должны быть права на чтение и изменение алертов и инцидентов.

Если инцидент создается вручную, плейбуки не запускаются автоматически. Вы можете запустить плейбук для такого инцидента вручную.

Вы можете создавать инциденты с помощью таблицы инцидентов или таблицы алертов.

Создание инцидентов с помощью таблицы инцидентов

Чтобы создать инцидент:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. Нажмите на кнопку Создать инцидент.
2. На шаге Общие параметры укажите следующие параметры:
   • Название инцидента.
   • Тенант

     Тенант, с которым связан инцидент. Алерты могут быть связаны только с инцидентом, принадлежащим тому же тенанту. Вы не сможете изменить тенант инцидента позже.

   • Исполнитель.

     Владелец инцидента, аналитик, который отвечает за расследование и обработку инцидента. Вы можете изменить исполнителя инцидента в любое время, если параметр Статус не равен Закрыт.

   • Приоритет.

     Возможные значения: Низкий, Средний, Высокий или Критичный.

     Приоритет инцидентов определяет порядок, в котором инциденты должны расследоваться аналитиками. Инциденты с приоритетом Критический являются наиболее важными и должны быть расследованы в первую очередь. Вы можете изменить приоритет инцидента вручную.

   • Описание

     В этом поле вы можете написать описание инцидента. Например, вы можете описать проблему или предоставить результаты расследования связанных алертов. Описание будет добавлено в раздел Описание в сведениях об инциденте.

     Поле не является обязательным.

3. Нажмите на кнопку ОК.

   Инцидент создан.

Создание инцидентов с помощью таблицы алертов

Вы создаете инцидент, выбирая алерты для связи с новым инцидентом. См. как связать алерты с инцидентами.

Просмотр таблицы инцидентов

В таблице инцидентов представлена информация обо всех созданных инцидентах.

Чтобы просмотреть таблицу инцидентов:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.

   Откроется таблица инцидентов.

2. При необходимости отфильтруйте тенанты. По умолчанию фильтр тенантов выключен и в таблице инцидентов отображаются инциденты, относящиеся ко всем тенантам, к которым у вас есть права доступа. Чтобы применить фильтр для тенантов:
   1. По ссылке рядом с параметром Фильтр тенантов откройте список тенантов.
   2. Установите флажки рядом с требуемыми тенантами.

      В таблице инцидентов отобразятся только инциденты, обнаруженные на активах, принадлежащих выбранным тенантам.

Таблица инцидентов содержит следующие столбцы:

• Создан – дата и время создания инцидента.
• Продолжительность угрозы – время между самыми ранними и самыми последними событиями среди всех алертов, связанных с инцидентом.
• Время обновления – дата и время последнего изменения в истории инцидента.
• ID инцидента – идентификатор инцидента.
• Статус – текущий статус инцидента.
• Статус изменен – дата и время, когда был изменен статус инцидента.
• Критичность – важность инцидента.
• Приоритет – приоритет инцидента.
• Количество связанных алертов – количество алертов в инциденте. По умолчанию этот столбец скрыт.
• Имя – название инцидента.
• Правила – правила, которые сработали для создания инцидента.
• Затронутые активы – устройства и пользователи, затронутые инцидентом. If the number of assets affected by or involved in the incident is greater than or equal to three, the number of affected devices is displayed. По умолчанию этот столбец скрыт.
• Тенант – имя тенанта, у которого был обнаружен инцидент.
• Аналитик – текущий исполнитель инцидента.
• Технология – технологии, зарегистрировавшие алерты, связанные с инцидентом.
• Метод создания – способ создания инцидента, вручную или автоматически.
• Наблюдаемые объекты – количество обнаруженных артефактов, например IP-адреса или MD5-хеши файлов.
• Объект КИИ – наличие хотя бы одного актива, который включен в инцидент и является объектом критической информационной инфраструктуры (КИИ).

  Принимает значение Да, если затронутый актив – это объект КИИ первой, второй, третьей категории значимости или объект КИИ без категории значимости. Столбец доступен для отображения, если лицензия приложения включает модуль ГосСОПКА.

Экспорт информации инцидентов

Вы можете экспортировать информацию обо всех инцидентах, которые отображаются в таблице инцидентов в файл JSON. Это может потребоваться, когда вам нужно будет предоставить эту информацию третьим сторонам.

Чтобы экспортировать информацию инцидентов вам нужно иметь одну из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Менеджер SOC, Работа с НКЦКИ, Подтверждающий, Наблюдатель.

Чтобы экспортировать информацию об инцидентах:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.

   Отобразится таблица инцидентов.

2. Если необходимо группировать и фильтровать данные в таблице следующим образом:
   • Нажмите на значок фильтрации (), укажите и примените критерий фильтрации в открывшемся меню.
   • Нажмите на значок параметров () и выберите столбцы для отображения в таблице.

   Отобразится таблица отфильтрованных инцидентов.

3. Нажмите на кнопку Экспортировать.
4. В открывшемся окне выберите папку, в которую вы хотите сохранить файл JSON, и нажмите на кнопку Сохранить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Просмотр сведений об инциденте

Развернуть все | Свернуть все

Сведения об инциденте – это страница в интерфейсе, которая содержит всю информацию, относящуюся к инциденту, включая свойства инцидента.

Чтобы просмотреть сведения об инциденте:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. В таблице инцидентов нажмите на идентификатор требуемого инцидента.

Откроется окно со сведениями об инциденте.

Панель инструментов в верхней части информации об инциденте позволяет выполнять следующие действия:

• Измените значения полей Имя, Описание и Внешняя ссылка
• Назначить инцидент аналитику
• Изменить статус инцидента
• Изменить приоритет инцидента
• Связать алерты с инцидентом
• Объединить инцидент с другими инцидентами
• Открыть граф расследования
• Выбрать плейбук

Сведения об инциденте содержат следующие разделы:

• Этот раздел содержит следующие свойства инцидента:

  • Тип. Тип инцидента.
  • Аналитик. Текущий исполнитель инцидента.
  • Метод создания. Как был создан инцидент, вручную или автоматически.
  • Имя. Имя, указанное при создании инцидента. Вы можете нажать на кнопку Изменить, чтобы изменить название инцидента.
  • Тенант. Имя тенанта, у которого был обнаружен инцидент.
  • Связанные тенанты. Имена тенантов, алерты которых связаны с инцидентом.
  • Активы. Количество пользователей и устройств, которые были затронуты инцидентом.
  • Зарегистрировано. Дата и время создания инцидента.
  • Время обновления. Дата и время последнего изменения в истории инцидента.
  • Первое событие. Дата и время первого события, связанного с инцидентом. Это самое раннее событие в разделе Детали алерта среди всех алертов, связанных с инцидентом.
  • Последнее событие. Дата и время последнего события, связанного с инцидентом. Это последнее событие в разделе Детали алерта среди всех алертов, связанных с инцидентом.
  • Описание. Описание инцидента. Вы можете нажать на кнопку Изменить, чтобы добавить описание.
  • Внешняя ссылка. Ссылка на объект во внешней системе. Вы можете нажать на кнопку Изменить, чтобы указать внешнюю ссылку.
  • Приоритет. Возможные значения: Низкий, Средний, Высокий или Критический. Приоритет инцидентов определяет порядок, в котором инциденты могут расследоваться. Инциденты с приоритетом Критический являются наиболее важными и могут быть расследованы в первую очередь. Вы можете изменить приоритет, нажав на текущее значение приоритета.
  • Критичность. Возможные значения: Низкий, Средний или Высокий. Уровень важности инцидента показывает, какое влияние этот инцидент может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского".
  • Правила. Правила, которые сработали для регистрации связанных алертов. Вы можете нажать на значок с многоточием рядом с названием правила, чтобы открыть контекстное меню. Используйте это меню, чтобы узнать больше о правиле, найти алерты или инциденты, которые были зарегистрированы этим же правилом, или найти события, инициировавшие правило, в разделе Поиск угроз за период между первым и последним событием инцидента.

    Когда в меню вы нажимаете на раздел Перейти в Поиск угроз, раздел Поиск угроз открывается в той же вкладке. Если вы хотите открыть раздел Поиск угроз в новой вкладке браузера, зажмите клавишу Ctrl и в меню нажмите на раздел Перейти в Поиск угроз.

  • Технология. Список технологий, зарегистрировавших алерты, связанные с инцидентом.
  • Тактика MITRE. Тактика или несколько тактик, зарегистрированных в алертах, связанных с инцидентом. Тактика определена в базе знаний MITRE ATT&CK.
  • Техника MITRE. Техника или несколько техник, зарегистрированных в алертах, связанных с инцидентом. Методы определены в базе знаний MITRE ATT&CK.
  • Дополнительные данные. Дополнительная информация об инциденте. Вы можете изменить значение в этом поле только с помощью плейбука. Поле отображается, если вы добавили значение.
• Подробная информация

  В разделе Подробнее вы можете отслеживать события телеметрии, связанные с инцидентом.

  Чтобы просмотреть события, связанные с инцидентом, нажмите на кнопку Поиск угроз. В открывшейся таблице отобразятся события алерта, связанные с инцидентом.

  Панель инструментов таблицы событий позволяет выполнить следующие действия:

  • Скачать события. Вы можете нажать на кнопку TSV, чтобы скачать информацию о связанных событиях из TSV-файла.
  • Удалить связь с инцидентом. Вы можете выбрать событие или несколько событий в таблице и нажать на эту кнопку, чтобы удалить связь выбранных событий с алертом, связанным с инцидентом.

  Вы можете вернуться к деталям инцидента, нажав на кнопку Исследование инцидента или на кнопку Назад в вашем браузере.

• Подобные инциденты

  В разделе Подобные инциденты вы можете просмотреть список инцидентов, которые имеют те же затронутые артефакты, что и текущий инцидент. Затронутые артефакты включают как наблюдаемые объекты, так и затронутые устройства алертов, связанных с инцидентом. В списке есть инциденты во всех статусах.

  С помощью вы можете оценить степень сходства текущего инцидента и других инцидентов. Сходство рассчитывается следующим образом:

  Сходство = M / T * 100

  Здесь "M" – количество артефактов, совпадающих в текущем и аналогичном инциденте, "T" – общее количество артефактов в текущем инциденте.

  Если сходство составляет 100%, в текущем инциденте нет ничего нового по сравнению с аналогичным инцидентом. Если сходство равно 0%, текущий инцидент и схожий инцидент полностью различаются. Инциденты, имеющие сходство 0%, не включаются в список.

  Расчетное значение округляется до ближайшего целого числа. Если сходство равно значению от 0% до 1%, приложение не округляет это значение до 0%. В этом случае значение отображается меньше 1%.

  При нажатии на идентификатор инцидента открывается подробная информация об инциденте.

  Настройка списка похожих инцидентов

  Вы можете настроить таблицу, используя следующие параметры:

  • Отфильтруйте инциденты, выбрав период, за который были обновлены инциденты. По умолчанию список содержит инциденты, которые обновлялись за последние 30 дней.
  • Нажмите на значок Параметры столбцов () и выберите, какие столбцы отображать и в каком порядке.
  • Нажмите на значок Фильтр (), выберите и настройте фильтры, которые хотите применить. Если вы выбрали несколько фильтров, они применяются одновременно с помощью логического оператора И.
  • Нажмите на заголовок столбца и выберите параметры сортировки. Вы можете отсортировать инциденты в порядке возрастания или убывания.
• Алерты

  В разделе Алерты вы можете просмотреть список алертов, связанных с текущим инцидентом.

  Нажав на идентификатор алерта, вы можете открыть детали алерта. Вы также можете использовать кнопки панели инструментов, чтобы удалить связь алерта с инцидентом.

• Активы

  В разделе Активы вы можете просмотреть устройства и пользователей, затронутых или вовлеченных в инцидент.

  Таблица активов содержит следующие столбцы:

  • Тип актива.

    Возможные значения: устройство или пользователь.

  • Имя актива.
  • Идентификатор актива.
  • Имеет признаки.

    Возможные значения: атакующий или атакуемый.

  • Статус авторизации.

    Этот параметр применяется только к типу актива – устройство. Статус авторизации устройства определяется KICS for Networks. Вы можете изменить статус авторизации, применив соответствующее действие по реагированию к устройству.

  • Сервер администрирования.

    Сервер администрирования, который управляет устройством.

  • Группа администрирования.

    Группа администрирования, к которой принадлежит пользователь.

  • Категории.

    Категории активов, в которые входит актив.

  • Категория КИИ.

    Информация о том, является ли актив объектом критической информационной инфраструктуры (КИИ). Столбец доступен для отображения, если лицензия приложения включает модуль ГосСОПКА и если вам назначена одна из следующих ролей XDR: Доступ к объектам КИИ, Главный администратор.

    Возможные значения:

    • Объект КИИ первой категории значимости.
    • Объект КИИ второй категории значимости.
    • Объект КИИ третьей категории значимости.
    • Объект КИИ без категории значимости.
    • Информационный ресурс не является объектом КИИ.

  Нажав на имя пользователя или устройства, вы можете:

  • Выполнить поиск по имени пользователя или идентификатору устройства в разделе Поиск угроз за период между первым и последним событием инцидента.
  • Выполнить поиск по имени пользователя или идентификатору устройства в других алертах.
  • Выполнить поиск по имени пользователя или идентификатору устройства в других инцидентах.
  • Скопировать имя пользователя или имя устройства в буфер обмена.

  Вы также можете нажать на имя устройства, чтобы открыть свойства устройства.

  Нажав на идентификатор пользователя или идентификатор устройства, вы можете:

  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в разделе Поиск угроз за период между первым и последним событием инцидента.
  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в других алертах.
  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в других инцидентах.
  • Скопировать идентификатор пользователя или идентификатор устройства в буфер обмена.

  Вы также можете нажать на идентификатор устройства, чтобы открыть его свойства.

• Наблюдаемые объекты

  В разделе Наблюдаемые объекты вы можете просмотреть наблюдаемые объекты, которые относятся к алертам, связанными с текущим инцидентом. Наблюдаемые объекты могут включать:

  • MD5-хеш
  • IP-адрес
  • URL
  • Имя домена
  • SHA256
  • UserName
  • HostName

  Нажав на ссылку в столбце Значение, вы можете:

  • Поиск наблюдаемого значения в разделе Поиск угроз за период между первым и последним событием инцидента.

    Если после перехода по ссылке в столбце Значение вы выбираете в меню раздел Перейти в Поиск угроз, раздел Поиск угроз открывается на той же вкладке. Если вы хотите открыть раздел Поиск угроз в новой вкладке браузера, зажмите клавишу Ctrl и в меню нажмите на раздел Перейти в Поиск угроз.

  • Выполнить поиск по значению наблюдаемого объекта в Kaspersky Threat Intelligence Portal (открывается в новой вкладке браузера).
  • Выполнить поиск по значению наблюдаемого объекта в других алертах.
  • Выполнить поиск по значению наблюдаемого объекта в других инцидентах.
  • Скопировать значение наблюдаемого объекта в буфер обмена.

  Панель инструментов этого раздела содержит следующие кнопки:

  • Запросить статусы Kaspersky TIP. Используйте эту кнопку, чтобы получить подробную информацию о выбранном наблюдаемом объекте в Kaspersky Threat Intelligence Portal (Kaspersky TIP). В результате информация обновляется в столбце Статус обновления. Требуется интеграция с Kaspersky Threat Intelligence Portal (премиум-доступ).
  • Обогатить данные Kaspersky TIP. Используйте эту кнопку, чтобы получить подробную информацию обо всех перечисленных наблюдаемых объектах из Kaspersky TIP. В результате информация обновляется в столбце Обогащение. Используйте ссылку в столбце Обогащение, чтобы открыть полученные сведения об обогащении наблюдаемого объекта. Требуется интеграция с Kaspersky Threat Intelligence Portal (премиум-доступ).
  • Поместить на карантин. Используйте эту кнопку, чтобы переместить устройство, на котором находится файл, на карантин. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Добавить правило запрета. Используйте эту кнопку, чтобы добавить правило, запрещающее запуск файла. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Удалить правило запрета. Используйте эту кнопку, чтобы удалить правило, запрещающее запуск файла. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Прервать процесс. Используйте эту кнопку, чтобы прервать процессы, связанные с файлом. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
• История

  В разделе История журнала событий вы можете отслеживать изменения, внесенные в инцидент как в объект:

  • Изменение статуса инцидента.
  • Изменение исполнителя инцидента.
  • Связь алерта с инцидентом.
  • Удаление связи алерта с инцидентом.
  • Объединение инцидента с другими инцидентами.
  • Загрузка файла в инцидент.
  • Удаление файла из инцидента.

  В разделе История реагирований вы можете просмотреть действия по реагированию, выполненные вручную, а также действия, выполненные в рамках плейбука. Таблица содержит следующие столбцы:

  • Время. Время возникновения события.
  • Запущено. Имя пользователя, запустившего действие по реагированию.
  • События. Описание события.
  • Параметры реагирования. Параметры действия по реагированию, указанные в действии по реагированию.
  • Актив. Количество активов, для которых было запущено действие по реагированию. Вы можете перейти по ссылке с номером актива, чтобы просмотреть подробную информацию об активе.
  • Статус действия. Статус выполнения действия по реагированию. В этом столбце могут отображаться следующие значения:
    • Ожидание подтверждения – действие по реагированию ожидает подтверждения для запуска.
    • В обработке – действие по реагированию выполняется.
    • Успешно – действие по реагированию завершено без ошибок или предупреждений.
    • Предупреждение – действие по реагированию завершено с предупреждениями.
    • Ошибка – действие по реагированию завершено с ошибками.
    • Прервано – действие по реагированию завершено, так как пользователь прервал выполнение.
    • Истекло время подтверждения – действие по реагированию завершено, так как время подтверждения для запуска истекло.
    • Отклонено – действие по реагированию завершено, так как пользователь отклонил запуск.
  • Плейбук. Название плейбука, в котором было запущено действие по реагированию. Вы можете перейти по ссылке, чтобы просмотреть подробную информацию о плейбуке.
  • Действие по реагированию. Имя выполненного действия по реагированию.
  • Тип актива. Тип актива, для которого запускается действие по реагированию. Возможные значения: Устройство или Пользователь.
  • Активы тенанта. Тенант, являющийся владельцем актива, для которого было запущено действие по реагированию.
• Комментарии

  В разделе Комментарии вы можете оставлять комментарии, связанные с инцидентом. Например, вы можете написать комментарий о результатах расследования или при изменении свойств инцидента, таких как исполнитель или статус инцидента.

  Вы можете изменять или удалять свои комментарии. Комментарии других пользователей невозможно изменить или удалить.

  Чтобы сохранить комментарий, нажмите на клавишу Enter. Чтобы начать новую строку, нажмите на клавиши Shift + Enter. Чтобы изменить или удалить свой комментарий, используйте кнопки в правом верхнем углу.

  Для возможности оставлять комментарии требуется право на Запись в функциональной области Алерты и инциденты.

Назначение инцидентов аналитикам

Как объект, инцидент должен быть передан аналитику SOC для проверки и возможного расследования. Вы можете изменить статус инцидента в любое время.

Инциденты можно назначить только аналитикам, имеющим право на чтение и изменение алертов и инцидентов.

Чтобы назначить аналитику инциденты:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. Установите флажки рядом с инцидентами, которые требуется назначить аналитику.

   Вам нужно выбрать только инциденты, обнаруженные в одном тенанте. Иначе кнопка Назначить будет неактивна.

   Кроме того, вы можете назначить инцидент аналитику из деталей инцидента. Чтобы открыть детали инцидента, нажмите на ссылку с идентификатором инцидента.

3. Нажмите на кнопку Назначить.
4. В открывшемся окне Назначить аналитику начните вводить имя аналитика или электронную почту, а затем выберите аналитика из списка.

   Вы также можете выбрать вариант Не назначен.

5. Нажмите на кнопку Назначить.

Инциденты назначены аналитику.

Также назначить аналитика для решения инцидента можно с помощью плейбуков.

Изменение статуса инцидента

Развернуть все | Свернуть все

Как объект, инцидент имеет статус, который показывает текущее состояние инцидента в его жизненном цикле.

Вы можете изменять статус для своих инцидентов или инцидентов других аналитиков, только если у вас есть право Запись в функциональной области алертов и инцидентов. Для закрытия инцидента требуется право Закрытие в функциональной области алертов и инцидентов.

Если статус инцидента изменен вручную, плейбуки не будут запускаться автоматически. Вы можете запустить плейбук для такого инцидента вручную.

Поддерживаются две модели статусов инцидентов:

1. Стандартная:
   • Новый

     Когда вы создаете инцидент или он создается автоматически, инцидент имеет статус Новый. Вы можете изменить статус инцидента на В обработке или Закрыт. Когда вы меняете статус Новый на В обработке, инцидент назначается вам автоматически. Когда вы меняете статус Новый на Закрыт и у инцидента нет исполнителя, он автоматически назначается вам.

   • В обработке

     Этот статус означает, что аналитик начал работу над инцидентом или возобновил работу, изменив статус Отложен. Когда вы устанавливаете статус В обработке, инцидент назначается вам автоматически. Изменить статус В обработке можно на любой другой.

   • Отложен

     Этот статус означает, что аналитик приостановил работу над инцидентом. Обычно вы меняете статус Отложен на В обработке, когда работа возобновляется, но также можно изменить статус Отложен на другие статусы.

   • Закрыт

     Вы закрываете инциденты, когда не требуется никакой дополнительной работы над инцидентом. Вы можете закрыть инцидент, по которому принято одно из следующих решений:

     • Верное срабатывание.
     • Ложное срабатывание.
     • Низкий приоритет.

     При закрытии инцидента, связанные обнаружения также получают статус Закрыто и наследуют решение инцидента. Если у инцидента нет исполнителя, закрытый инцидент автоматически назначается вам. Если закрытый инцидент имеет неназначенные связанные обнаружения, эти обнаружения автоматически назначаются вам.

     Статус Закрыт можно изменить только на статус Новый. Если вы хотите вернуть закрытый инцидент в работу, измените его статус следующим образом: Закрыт → Новый → В обработке.

2. Совместимая с ГОСТ:
   • Новый

     Когда вы создаете инцидент или он создается автоматически, инцидент имеет статус Новый. Вы можете изменить статус инцидента на Анализ. Когда вы меняете статус Новый на Анализ, инцидент назначается вам автоматически.

   • Анализ

     Этот статус означает, что аналитик начал работу над инцидентом и проводит первичный анализ и определение вовлеченных в инцидент элементов информационной инфраструктуры.

     Вы можете изменить статус инцидента на Локализация или Выполнен.

   • Локализация

     Этот статус означает, что выполняется меры по предотвращению дальнейшего распространения инцидента.

     Вы можете изменить статус инцидента на Последствия или Выполнен.

   • Последствия

     Этот статус означает, что выполняется выявление последствий инцидента на вовлеченные в него элементы информационной инфраструктуры.

     Вы можете изменить статус инцидента на Ликвидация или Выполнен.

   • Ликвидация

     Этот статус означает, что выполняется устранение последствий инцидента.

     Вы можете изменить статус инцидента на Выполнен.

   • Выполнен

     Этот статус означает, что проводится оценка полноты выполненных действий на этапах Анализ, Локализация, Последствия и Ликвидация.

     Вы можете изменить статус инцидента на Закрыт, Анализ, Локализация, Последствия, Ликвидация.

   • Закрыт

     Вы можете закрыть инцидент, по которому принято одно из следующих решений:

     • Верное срабатывание.
     • Ложное срабатывание.
     • Низкий приоритет.

     При закрытии инцидента, связанные обнаружения также получают статус Закрыт и наследуют решение инцидента. Если закрытый инцидент имеет неназначенные связанные обнаружения, эти обнаружения автоматически назначаются вам.

Чтобы сменить модель статусов на совместимую с ГОСТ:

1. В файле docker/compose/osmp.yaml укажите значение переменной окружения OSMP_WORKFLOW_ID.

   OSMP_WORKFLOW_ID: "gost"

2. В файле /plugins/irp/.env укажите значение переменной FEATURE_GOST_STATUS.

   FEATURE_GOST_STATUS=true

Статусы инцидентов не конвертируются при смене модели статуса. Не рекомендуется менять модель статусов, если у вас есть активные инциденты.

Чтобы изменить статус одного или нескольких инцидентов:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. Выполните одно из следующих действий:
   • Установите флажки напротив инцидентов, которым требуется изменить статус.
   • Перейдите по ссылке с идентификатором инцидента, статус которого вы хотите изменить.

     Откроется окно Сведения об инциденте.

3. Нажмите на кнопку Изменить статус.
4. В панели Изменить статус выберите статус, который нужно установить.

   Если вы выберете статус Закрыт, вам нужно выбрать решение и написать короткий комментарий.

   Если вы измените статус инцидента на Закрыт и этот инцидент содержит незавершенные плейбуки или действия по реагированию, все связанные плейбуки и действия по реагированию будут прекращены.

5. Оставьте комментарий (необязательно).
6. Нажмите на кнопку Сохранить.

Статусы выбранных инцидентов будут изменены.

Изменение приоритета инцидента

Как объект, инцидент имеет приоритет, который определяет порядок, в котором инцидент должен расследоваться аналитиками. Вы можете изменить приоритет инцидента вручную.

Вы можете изменять приоритеты инцидентов для своих инцидентов или инцидентов других аналитиков, только если у вас есть право доступа на чтение и изменение алертов и инцидентов.

Инцидент может иметь один из следующих приоритетов:

• Низкий.
• Средний (значение по умолчанию).
• Высокий.
• Предельный.

Инциденты с приоритетом Критический являются наиболее важными и должны быть расследованы в первую очередь. Низкий приоритет обычно означает, что инцидент помещен в очередь. Вы можете определить свои собственные критерии того, какой приоритет должен быть установлен для какого инцидента.

Чтобы изменить приоритет инцидента:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. Выполните одно из следующих действий:
   • Установите флажки напротив инцидентов, которым требуется изменить приоритет.
   • Нажмите на идентификатор инцидента, чтобы открыть сведения об инциденте, приоритет которого вы хотите изменить.
3. Нажмите на кнопку Изменить приоритет.
4. В окне Изменить приоритет выберите приоритет, который нужно установить.
5. Нажмите на кнопку Сохранить.

Приоритеты выбранных инцидентов будут изменены.

Также изменить приоритет инцидента можно с помощью плейбуков.

Объединение инцидентов

Два или более инцидента могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае вы можете объединить инциденты, чтобы исследовать их как единую проблему.

Когда вы объединяете инциденты, вам нужно выбрать среди них целевой инцидент. После объединения инцидента проблему необходимо исследовать в рамках целевого инцидента. Целевой инцидент должен иметь статус, отличный от статуса Закрытый. Остальные инциденты объединяются в целевой и после объединения получают статус Закрытый и решение Объединено.

Все алерты, связанные с объединенными инцидентами, автоматически связываются с целевым инцидентом. Так как у инцидента не может быть более 200 связанных алертов, приложение считает алерты, связанные с инцидентами, которые вы хотите объединить. Если общее количество связанных алертов превышает 200, выбранные инциденты не могут быть объединены.

Вы не можете объединять дочерние инциденты или инциденты, у которых есть дочерние инциденты.

Чтобы объединить инциденты из таблицы инцидентов:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. Установите флажки рядом с инцидентами, которые требуется объединить в целевой инцидент. На первом шаге мастера нужно будет выбрать целевой инцидент.
3. Нажмите на кнопку Объединить инциденты.

   Откроется мастер объединения инцидентов.

4. Выберите целевой инцидент.
5. Нажмите на кнопку ОК.

Инциденты объединены.

Чтобы объединить инциденты с использованием сведений об инциденте:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. Нажмите на идентификатор инцидента, чтобы открыть сведения об инциденте. Этот инцидент будет объединен с целевым инцидентом. На первом шаге мастера нужно будет выбрать целевой инцидент.
3. Нажмите на кнопку Объединить инциденты.

   Откроется мастер объединения инцидентов.

4. Выберите целевой инцидент.
5. Нажмите на кнопку ОК.

Инциденты объединены.

Изменение инцидентов с использованием плейбуков

Развернуть все | Свернуть все

Open Single Management Platform позволяет изменять инциденты вручную или с использованием плейбуков. При создании плейбука, вы можете настроить алгоритм плейбука для изменения свойств инцидента.

Чтобы изменить инцидент с помощью плейбука, вам должна быть присвоена одна из следующих ролей: Главный администратор, Администратор SOC, Аналитик 1-го уровня, Аналитик 2-го уровня или Администратор тенанта.

Вы не можете изменять инциденты, которые имеют статус Закрыт.

Вы можете изменить следующие свойства инцидента с помощью плейбука:

• Исполнитель.
• Статус рабочего процесса инцидента.
• Тип инцидента.
• Комментарий.
• Описание.
• Приоритет.
• Атрибут ExternalReference.
• Дополнительный атрибут данных.

Примеры выражений, которые вы можете использовать в алгоритме плейбука для изменения свойств инцидента:

• Назначение инцидента пользователю.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "assignIncident", "params": { "assignee": { "id": "user_ID" } } } } } ] }

  Во время изменения исполнителя в алгоритме плейбука отображаются подсказки. Для удобства подсказки содержат строку поиска, где вы можете выполнить поиск по имени. Если вы хотите указать исполнителя инцидента, вы можете выполнить поиск соответствующей записи по имени пользователя, и этот идентификатор будет указан в алгоритме.

• Отмена назначения инцидента пользователю
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "assignIncident", "params": { "assignee": { "id": "nobody" } } } } } ] }
• Изменение статуса рабочего процесса инцидента.

  Чтобы изменить статус рабочего процесса инцидента на Открыт:

  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentStatus", "params": { "typeId": "af9dd279-fc30-4596-963b-942f79920375", "statusId": "4db36105-5223-4078-b72c-e9e9983b0987" } } } } ] }

  Чтобы изменить статус рабочего процесса инцидента на Закрыт:

  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentStatus", "params": { "statusId": "INCIDENT_STATUS_ID", "statusResolution": "truePositive" } } } } ] }

  Вы также можете указать следующие значения для параметра statusResolution: falsePositive и lowPriority.

  Чтобы изменить статус рабочего процесса инцидента на пользовательский статус:

  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentStatus", "params": { "typeId": "22222222-2222-2222-2222-222222222222", "statusId": "11111111-1111-1111-1111-111111111111" } } } } ] }

  Во время изменения статуса рабочего процесса инцидента в алгоритме плейбука отображаются подсказки. Для удобства подсказки содержат строку поиска, где вы можете выполнить поиск по имени. Если вы хотите указать статус рабочего процесса инцидента, вы можете выполнить поиск соответствующей записи по названию, и этот идентификатор будет указан в алгоритме.

• Изменение типа инцидента.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentType", "params": { "id": "INCIDENT_TYPE_UUID" } } } } ] }

  Во время изменения типа инцидента в алгоритме плейбука отображаются подсказки. Для удобства подсказки содержат строку поиска, где вы можете выполнить поиск по имени. Если вы хотите указать тип инцидента, вы можете выполнить поиск соответствующей записи по названию, и этот идентификатор будет указан в алгоритме.

• Добавление комментария к инциденту.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "addCommentToIncident", "params": { "text": "${ \"Новый комментарий к инциденту с идентификатором: \\(incident.ID)\" }" } } } } ] }
• Изменение описания инцидента.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentDescription", "params": { "description": "${ incident.ID | tostring | \"New comment for incident with ID: \" + . }", "mode": "replace" } } } } ] }

  Чтобы дополнить существующее описание, укажите значение append для параметра mode.

• Изменение приоритета инцидента.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentPriority", "params": { "priority": "critical" } } } } ] }

  Вы также можете указать следующие значения для параметра priority: high, medium, low.

• Изменение атрибута ExternalReference.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentExternalRef", "params": { "externalRef": "${ \"new extReference value\" }", "mode": "replace" } } } } ] }

  Чтобы дополнить атрибут ExternalReference, укажите значение append для параметра mode.

• Изменение Дополнительного атрибута данных.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "addIncidentAdditionalData", "params": { "data": "${ {\"customKey\": \"customValue\"} }", "mode": "replace" } } } } ] }

  Чтобы дополнить Дополнительный атрибут данных, укажите значение append для параметра mode.

Граф расследования

Граф расследования – это инструмент визуального анализа, который показывает связь между следующими объектами:

• события;
• алерты;
• инциденты;
• наблюдаемые объекты;
• активы (устройства);
• правила сегментации.

На графе отображается подробная информация об инциденте: соответствующие алерты и их общие свойства.

Чтобы открыть граф расследования:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. В таблице инцидентов нажмите на идентификатор требуемого инцидента.

   Откроется окно со сведениями об инциденте.

3. Нажмите на кнопку Посмотреть на графе.

Для просмотра графа требуется право на Запись в функциональной области Алерты и инциденты.
Для просмотра на графе сведений об активе, который является объектом КИИ, пользователю необходимо назначить роль Доступ к объектам КИИ.
Дополнительную информацию см. в статье Предопределенные роли пользователей.

Вы можете использовать панорамное отображение и масштабирование в правом нижнем углу для навигации по сложному графу.

Взаимодействие с узлами графа

Вы можете использовать панель инструментов вверху, чтобы добавлять алерты и наблюдаемые объекты.

Вы можете нажать и перетащить узлы графа, чтобы переставить их.

Вы можете нажать на узел графа, чтобы открыть контекстное меню.

Общие пункты контекстного меню:

• Просмотреть информацию.

  Открывает окно свойств выбранного узла.

• Копировать.

  Копирует значение узла в буфер обмена.

• Скрыть.

  Удаляет выбранный узел из графа.

Пункты контекстного меню, специфичные для событий:

• Дерево процессов.

  Доступно только для определенных типов событий. Создает дерево процессов для события. Индикация события синим цветом указывает на то, что вы можете сгенерировать дерево процессов для этого события.

Пункты контекстного меню, специфичные для алертов:

• Изменить статус.

  Вызывает панель Изменения статуса, которая позволяет изменить статус алерта.

• Наблюдаемые объекты.

  Меню, которое позволяет добавлять общие наблюдаемые объекты в качестве узлов графа.

• Устройства.

  Меню, которое позволяет добавлять общие устройства в качестве узлов графа.

Пункты контекстного меню, специфичные для наблюдаемых объектов:

• Найти похожие события.

  Вызывает панель Поиск угроз, на которой отображаются похожие события.

• Найти похожие алерты.

  Вызывает панель Алерты, на которой отображаются похожие алерты.

• Запросить статусы Kaspersky TIP.

  Позволяет вам получать подробную информацию о выбранном наблюдаемом объекте в Kaspersky Threat Intelligence Portal (Kaspersky TIP). Подробнее см. в разделе Интеграция с Kaspersky Threat Intelligence Portal.

• Обогатить данные Kaspersky TIP.

  Используйте эту кнопку, чтобы получить подробную информацию о выбранном наблюдаемом объекте в Kaspersky TIP. Подробнее см. в разделе Интеграция с Kaspersky Threat Intelligence Portal.

Правила сегментации, специфичные для объектов:

• Просмотреть сведения в KUMA.

  Открывает Консоль KUMA в новой вкладке браузера, на которой отображаются сведения о правиле.

• Найти похожие алерты.

  Вызывает панель Алерты, на которой отображаются похожие алерты.

Если вы попытаетесь добавить алерт для другого тенанта, он не будет отображаться на графе расследования.

Вы также можете добавить наблюдаемые объекты, нажав на алерт или событие. Для этого в открывшемся контекстном меню вам нужно выбрать Наблюдаемые объекты и нажать на наблюдаемый объект. Объект будет добавлен в граф расследования. При необходимости вы можете удалить объект с графа расследования. Для этого вам нужно нажать на наблюдаемый объект и в открывшемся контекстном меню нажать на кнопку Скрыть.

Группировка элементов графа

Граф расследования автоматически группирует алерты с общими параметрами.

Чтобы разгруппировать алерт:

1. Нажмите на элемент графа, соответствующий группе алертов.

   Отобразится таблица со списком алертов.

2. Выберите алерт, который вы хотите отобразить на графе.
3. Нажмите на кнопку Показать на графе в панели инструментов таблицы.

   Алерт будет добавлен в виде узла графа.

4. Если вы хотите скрыть алерт, нажмите на кнопку Скрыть на графе.

Связывание элементов графа

Граф расследования автоматически создает ссылки для новых элементов, если это применимо. Ссылки можно добавлять вручную.

Чтобы добавить ссылку вручную:

1. Нажмите на кнопку Связать узлы.

   Вокруг узлов графа появятся точки соединения.

2. Нажмите на элемент и перетащите его от точки привязки одного узла к точке привязки другого узла.

Ссылки, созданные вручную, имеют цветовую индикацию.

Поиск угроз

Вы можете провести анализ событий для поиска угроз и уязвимостей, которые не были обнаружены автоматически. Для этого вам нужно нажать на кнопку Поиск угроз в панели инструментов вверху или открыть контекстное меню узла графа и выбрать пункт События или Найти похожие события. Откроется панель Поиск угроз. Подробнее см. в статье Поиск угроз.

Экспорт графа

При необходимости вы можете сохранить граф в формате SVG. Для этого вам нужно нажать на кнопку Экспортировать в панели инструментов вверху.

Правила сегментации

Правила сегментации позволяют автоматически разделять связанные алерты на отдельные инциденты в зависимости от заданных условий.

Вы можете использовать правила сегментации для создания отдельных инцидентов на основе связанных алертов. Например, вы можете объединить несколько алертов с важной отличительной чертой в отдельный инцидент.

Алерты могут быть связаны только с инцидентом, принадлежащим тому же тенанту.

Правила сегментации срабатывают в соответствии с указанным приоритетом. Чем выше находится правило в списке правил сегментации, тем выше его приоритет. Если вы хотите изменить приоритет правила сегментации, вам нужно перетащить правило, нажав на его имя.

Рекомендуется использовать правила сегментации вместе с правилами агрегации для определения более точных правил создания инцидентов.

Когда вы пишете выражение jq при создании правила сегментации, может появиться ошибка о недопустимом выражении, хотя выражение является корректным. Эта ошибка не блокирует создание правила сегментации. Это известная ошибка.

Чтобы создать правило сегментации:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.

   Откроется список тенантов. Список содержит только те тенанты, к которым у вас есть хотя бы право на Чтение.

2. Нажмите на тенант, для которого вы хотите создать правило сегментации.
3. На вкладке Параметры нажмите на подраздел Правила сегментации в разделе Обнаружение и реагирование.

   Откроется список правил сегментации.

4. Нажмите на кнопку Создать.

   Откроется окно Создать правило сегментации.

5. Укажите параметры сегментации правила.
   • Статус

     Включите или выключите правило.

   • Имя правила

     Укажите уникальное имя правила. Имя должно содержать от 1 до 255 символов Юникода.

   • Максимальное количество алертов в инциденте

     Максимальное количество алертов в одном инциденте. Если количество алертов превышает указанное значение, создается другой инцидент.

   • Минимальное количество алертов в инциденте

     Минимальное количество алертов в одном инциденте. Если количество алертов не достигает указанного значения, инцидент не создается.

   • Интервал поиска

     Период, из которого следует выбирать алерты и инциденты.

   • Описание

     Необязательно. Описание правила.

   • Группы

     Выражение jq, определяющее массив идентификаторов строк, по которым назначаются алерты инцидентам.

     При необходимости вы можете скопировать выражение jq для раздела Группы из другого правила сегментации. Для этого нажмите на кнопку Копировать из другого правила.

     Пример: [.Observables[] | select(.Type == "md5") | .Value ]

   • Имя инцидента (шаблон)

     Выражение jq, определяющее шаблон наименований инцидентов, созданных в соответствии с этим правилом сегментации.

     При необходимости вы можете скопировать выражение jq для раздела Имя инцидента (шаблон) из другого правила сегментации. Для этого нажмите на кнопку Копировать из другого правила.

     Пример: "Malware Detected with MD5 \(.Observables[] | select(.Type == "md5") | .Value)"

   • Триггер

     Выражение jq, определяющее условие включения алертов в инцидент.

     При необходимости вы можете скопировать выражение jq для раздела Триггер из другого правила сегментации. Для этого нажмите на кнопку Копировать из другого правила.

     Пример: any(.Rules[]?; .Name == "R077_02_KSC. Malware detected")

6. Нажмите на кнопку Сохранить.

Правило сегментации сохранится и отобразится в таблице правил. При необходимости вы можете изменить правило, нажав на его имя в таблице.

Когда алерт создан, он проверяется всеми активными правилами сегментации из таблицы в соответствие с приоритетом правил. После срабатывания первого подходящего правила формируется массив строковых идентификаторов для алерта и начинается поиск инцидента, в который будет включен алерт.

Правило сегментации срабатывает, если выражение jq, которое вы указали в триггере, возвращает true.

Невозможно связать алерт с инцидентом, созданным вручную.

Инцидент также имеет массив, который состоит из массивов алертов, связанных с этим инцидентом. Если в массиве алерта, для которого сработало правило сегментации, есть хотя бы один элемент, совпадающий с каким-либо из элементов массива инцидента, то алерт связывается с инцидентом. В результате массив этого алерта добавляется в массив инцидента.

Если есть несколько инцидентов с совпадающими элементами в массиве, алерт соединяется с инцидентом, у которого самое позднее время обновления. Если нет инцидентов с совпадающими элементами в массиве, создается инцидент.

Когда инцидент новый, его массив пустой. Такой инцидент принимает массив алерта, который к нему присоединяется.

Копирование правил сегментации в другой тенант

Вы можете скопировать существующее правило сегментации другому тенанту.

Когда создается дочерний тенант, он автоматически копирует все правила сегментации из родительского тенанта. Изменение правил сегментации в родительском тенанте не влияет на уже созданные дочерние тенанты.

Чтобы скопировать правила сегментации:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на тенант с правилом сегментации, которое вы хотите скопировать.
3. На вкладке Параметры выберите раздел Правила сегментации.
4. Выберите правила сегментации, которые вы хотите скопировать, и нажмите на кнопку Копировать в тенант.
5. Выберите один или несколько целевых тенантов и нажмите на кнопку Копировать.

   Если целевой тенант содержит правило сегментации с таким же именем, откроется окно Перезаписать или переименовать правила сегментации?. Нажмите на кнопку Перезаписать, чтобы удалить ранее созданное правило для целевого тенанта и заменить его правилом, которое вы хотите скопировать. Нажмите на кнопку Копировать и переименовать, чтобы сохранить ранее созданное правило и скопировать указанное правило с добавлением (copy) к его заголовку.

Управление типами инцидентов

Open Single Management Platform позволяет управлять инцидентами и настраивать процесс обработки инцидентов с помощью типов инцидентов.

Тип инцидента – это набор атрибутов, для которых вы можете настроить различные процессы, например, назначить рабочий процесс для типа инцидента, настроить триггер или алгоритм плейбука.

Вы можете создать тип инцидента или использовать предустановленные типы инцидентов, которые вы можете настроить.

Типы инцидентов могут быть активными или неактивными. Если тип инцидента активен, вы можете выбрать этот тип в окне с подробной информацией об инциденте.

Тип инцидента, отмеченный как тип по умолчанию, автоматически назначается всем новым инцидентам. Вы не можете переключить тип инцидента по умолчанию в неактивный.

Тип инцидента Общий установлен как значение по умолчанию. Вы можете изменить этот параметр.

В тенанте вы можете создать только один тип инцидента по умолчанию.

Просмотр таблицы типов инцидентов

Чтобы просмотреть таблицу типов инцидентов:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры нажмите на Управление инцидентами.

   Отобразится вкладка Типы с таблицей типов инцидентов.

4. Если вы хотите настроить таблицу типов инцидентов, выполните любое из следующих действий:
   • Нажмите на значок фильтрации (), укажите и примените критерий фильтрации в открывшемся меню.
   • Чтобы скрыть или отобразить столбец, нажмите на значок параметров () и выберите нужный столбец.

В таблице типов инцидентов содержится следующая информация:

• Имя. Название пользовательских или предустановленных типов инцидентов.

  В таблице содержатся следующие предустановленные типы инцидентов:

  • Общие.

    По умолчанию этот тип имеет значение Да в столбце По умолчанию.

  • Получение информации.
  • Компрометация.
  • Несанкционированный доступ.
  • Атака вредоносного ПО.
  • Фишинг.
  • Доступность.
  • Угроза изнутри.
  • Нарушение безопасности данных.
  • Ошибка конфигурации.
  • Атака через цепочку поставок.
  • Атака веб-приложения.
  • Использование уязвимостей.
• Активный тип. Если тип инцидента активен, вы можете выбрать этот тип в окне с подробной информацией об инциденте.
• По умолчанию. При создании инцидента, ему автоматически присваивается тип по умолчанию. Возможные значения:
  • True.
  • False.
• Рабочий процесс. Рабочий процесс инцидента.
• Тенант. Имя тенанта, которому принадлежит тип инцидента.
• Тип создания. Способ создания типа инцидента. Возможные значения:
  • Пользовательский
  • Предопределенный
• Идентификатор. Уникальный идентификатор пользовательского или предустановленного типа инцидента. По умолчанию этот столбец скрыт.
• Описание. Описание типа инцидента. По умолчанию этот столбец скрыт.

При необходимости, вы можете создавать новые типы инцидентов, а также изменять и удалять предустановленные и пользовательские типы инцидентов.

Создание типов инцидентов

Чтобы создать тип инцидента:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры, нажмите на Управление инцидентами и выберите вкладку Типы.
4. Нажмите на кнопку Создать.

   Откроется окно Создать тип инцидента.

5. Если вы хотите, чтобы новый тип инцидента был активным, включите переключатель Активный тип.
6. В поле Имя введите название нового типа инцидента.
7. Если вы хотите, чтобы всем новым инцидентам по умолчанию назначался этот тип, установите флажок Сделать по умолчанию.

   В тенанте может быть только один инцидент по умолчанию. Это означает, что, если у тенанта уже есть тип инцидента по умолчанию, этот тип больше не будет типом по умолчанию после того, как вы установите этот флажок.

8. В поле Рабочий процесс выберите рабочий процесс инцидента.
9. При необходимости в поле Описание укажите описание типа инцидента или комментарий.
10. Нажмите на кнопку Создать.

Новый тип инцидента отобразится в таблице типов инцидентов.

Изменение типов инцидентов

При необходимости вы можете изменять типы инцидентов.

Чтобы изменить тип инцидента:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры нажмите на Управление инцидентами.

   Отобразится вкладка Типы с таблицей типов инцидентов.

4. Нажмите на имя типа инцидента, который требуется изменить.

   Откроется окно Изменить тип инцидента.

5. Внесите изменения и нажмите на кнопку Сохранить. Дополнительные сведения о свойствах типов инцидентов, которые вы можете изменить, см. в разделе Создание типов инцидентов.

Свойства типа инцидента изменены и сохранены.

Удаление типов инцидентов

Если вы хотите удалить тип инцидента, который используется в плейбуке, вам нужно удалить этот тип инцидента из триггера плейбука и/или алгоритма, чтобы избежать ошибок.

Удалить тип инцидента невозможно в следующих случаях:

• Тип инцидента установлен по умолчанию в тенанте, где был создан этот тип инцидента.

  При попытке удалить этот тип инцидента, вам будет предложено установить новый тип инцидента по умолчанию. В открывшемся окне вам нужно выбрать тип инцидента из списка.

• Тип инцидента установлен по умолчанию в дочернем тенанте.
• Текущий тенант или дочерний тенант содержит инцидент с типом, который вы хотите удалить.

  Прежде чем удалить такой тип, вам нужно назначить инциденту другой тип.

Чтобы удалить тип инцидента:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры нажмите на Управление инцидентами.

   Отобразится вкладка Типы с таблицей типов инцидентов.

4. Выполните одно из следующих действий:
   • Выберите тип инцидента, который вы хотите удалить и нажмите на кнопку Удалить.
   • Нажмите на название типа инцидента, который вы хотите удалить, затем в окне Изменить тип инцидента нажмите на кнопку Удалить.
5. В диалоговом окне нажмите на кнопку Удалить.

Тип инцидента будет удален.

Управление типами рабочих процессов

Open Single Management Platform позволяет настраивать гибкий рабочий процесс инцидента. Open Single Management Platform также отображает рабочий процесс в визуальном редакторе.

Процесс обработки инцидента представляет собой набор статусов и переходов, через которые проходит инцидент в течение его жизненного цикла. Статус является шагом в процессе обработки инцидента. Переход помогает инциденту переходить в различные статусы. Переход – это ссылка, которая позволяет настраивать переходы от одного статуса инцидента к другому и обратно. При необходимости, вы можете использовать переход как однонаправленную ссылку.

Вы можете создать рабочий процесс инцидента или использовать предустановленный рабочий процесс, который можно настроить.

Также можно назначить рабочий процесс типам инцидентов. Это поможет вам управлять жизненным циклом инцидента наиболее удобным образом.

Просмотр таблицы рабочих процессов инцидентов

Чтобы просмотреть таблицу рабочих процессов инцидентов:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры, нажмите на Управление инцидентами и выберите вкладку Рабочие процессы.

Отобразится таблица рабочих процессов инцидентов.

Чтобы настроить таблицу рабочих процессов инцидентов, выполните одно из следующих действий:

• Нажмите на значок фильтрации (), укажите критерий фильтрации и примените его в открывшемся меню.
• Чтобы скрыть или отобразить столбец, нажмите на значок параметров () и выберите нужный столбец.

Таблица рабочих процессов инцидентов настроена, и в таблице отображаются нужные вам данные.

В таблице рабочих процессов инцидентов содержится следующая информация:

• Имя. Название пользовательских или предустановленных рабочих процессов инцидентов.
• Связанные типы. Количество связанных типов инцидентов.
• Имя тенанта. Имя тенанта, которому принадлежит рабочий процесс инцидента.
• Тип создания. Способ создания рабочего процесса инцидента. Возможные значения:
  • Пользовательский.
  • Предопределенный.
• Идентификатор рабочего процесса. Уникальный идентификатор рабочего процесса инцидента. По умолчанию этот столбец скрыт.
• Описание. Описание рабочего процесса инцидента. По умолчанию, этот столбец скрыт.

Предустановленные рабочие процессы инцидентов

Open Single Management Platform позволяет управлять инцидентами с помощью предустановленного рабочего процесса инцидента. В таблице рабочих процессов инцидентов, такой рабочий процесс называется Стандартный. В столбце Тип создания эти рабочие процессы отмечены как Предопределенный.

При необходимости, вы можете изменить предустановленный рабочий процесс.

В таблице ниже описаны статусы предустановленного рабочего процесса и причины, по которым инцидентам присваиваются эти статусы.

Рабочий процесс по ГОСТ

Open Single Management Platform предоставляет возможность использовать для управления инцидентами рабочий процесс, созданный на основании ГОСТ Р 59712-2022. По умолчанию, в таблице рабочих процессов он имеет название ГОСТ и является предустановленным.

При необходимости вы можете изменить рабочий процесс ГОСТ под свои нужды.

Рабочий процесс ГОСТ состоит из следующих статусов:

• Новый. Создание инцидента (ручное или автоматическое).
• Анализ. Изучение негативного воздействия на элементы информационной инфраструктуры.
• Локализация. Определение элементов информационной инфраструктуры, которые подверглись негативному воздействию.
• Последствия. Определение последствий негативного воздействия на элементы информационной инфраструктуры.
• Ликвидация. Ликвидация причины, а также последствий негативного воздействия на элементы информационной инфраструктуры.
• Выполнен. Последствия негативного воздействия устранены, причины выявлены.
• Закрыт. Проверка достаточности выполненных действий по ликвидация причин и последствий негативного воздействия на элементы информационной инфраструктуры.

Создание рабочих процессов инцидентов

Рабочий процесс инцидента позволяет управлять жизненным циклом инцидента.

Чтобы создать рабочий процесс инцидента:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры, нажмите на Управление инцидентами и выберите вкладку Рабочие процессы.
4. Нажмите на кнопку Создать.

   Откроется окно Создать рабочий процесс.

   По умолчанию каждый рабочий процесс инцидента содержит предустановленные статусы Начальный и Завершен. Вы не можете удалить или изменить эти статусы.

5. В поле Имя введите название нового рабочего процесса.
6. При необходимости в поле Описание введите описание рабочего процесса или комментарий.
7. Чтобы добавить новые статусы, в разделе Рабочий процесс нажмите Добавить статус.
8. В открывшемся окне настройте следующие параметры:
   1. В поле Название статуса введите название нового статуса.
   2. В поле Категория выберите одну из следующих категорий статуса:
      • Начальный
      • В обработке
      • Решен
      • Завершен

      Категория определяет цвет иконки статуса.

   3. В поле Входящий переход выберите один или несколько входящих статусов.

      Если вы хотите настроить переход от всех статусов к входящим статусам, выберите параметр Разрешить всем статусам переходить на этот.

   4. В поле Исходящий переход, выберите один или несколько исходящих статусов.

      Если вы хотите настроить переход от исходящих статусов ко всем статусам, выберите параметр Разрешить этому статусу переходить на все статусы

   5. Нажмите на кнопку Добавить.

      Визуализированный рабочий процесс отображается в окне Создать рабочий процесс

      При необходимости повторите шаги 7 и 8, чтобы добавить новые статусы.

9. В окне Создать рабочий процесс нажмите на кнопку Сохранить.

Новый рабочий процесс инцидента отобразится в таблице.

Изменение рабочих процессов и статусов инцидентов

Вы можете изменить свойства рабочего процесса, а также статусы и переходы рабочего процесса.

Чтобы изменить рабочий процесс инцидента:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры, нажмите на Управление инцидентами и выберите вкладку Рабочие процессы.
4. Выберите рабочий процесс, который требуется изменить.

   Откроется окно Изменить рабочий процесс.

5. Измените свойства рабочего процесса. Дополнительные сведения о свойствах рабочего процесса, которые вы можете изменить, см. в разделе Создание рабочего процесса инцидентов.

Свойства рабочего процесса изменены и сохранены.

Чтобы изменить статусы рабочего процесса инцидента:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры, нажмите на Управление инцидентами и выберите вкладку Рабочие процессы.
4. Выберите рабочий процесс, который требуется изменить.

   Откроется окно Изменить рабочий процесс.

5. Нажмите на название статуса, который требуется изменить.

   Откроется окно Изменить статус.

6. Измените параметры статуса и параметры перехода. Дополнительные сведения о параметрах статуса, которые вы можете изменить, см. в разделе Создание рабочего процесса инцидентов.

   При необходимости, вы можете удалить статус, нажав на кнопку Удалить.

   Вы не можете изменить название и категорию следующих предустановленных статусов: Начальный и Завершен. Вы также не можете удалить эти предустановленные статусы.

   Вы не можете удалить статус, если он назначен инциденту.

7. Нажмите на кнопку Сохранить.

Статусы рабочего процесса изменены и сохранены.

Удаление рабочих процессов инцидентов

Вы не можете удалить рабочий процесс инцидента, если есть связанные типы инцидентов, которые принадлежат родительскому или дочернему тенанту. В этом случае вам нужно назначить другой рабочий процесс связанным типам инцидентов, а затем попробовать снова удалить рабочий процесс инцидента.

Если вы хотите удалить рабочий процесс, который используется в плейбуке, перед удалением измените триггер и/или алгоритм плейбука, чтобы избежать ошибок.

Чтобы удалить рабочий процесс инцидента:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры, нажмите на Управление инцидентами и выберите вкладку Рабочие процессы.
4. В списке рабочих процессов выберите рабочий процесс, который вы хотите удалить, и нажмите на кнопку Удалить.
5. В диалоговом окне нажмите на кнопку Удалить.

Рабочий процесс инцидента удален.

Настройка периода хранения алертов и инцидентов

Open Single Management Platform позволяет вам уменьшать или увеличивать период хранения алертов и инцидентов в зависимости от ваших требований. По умолчанию период хранения алертов и инцидентов составляет 360 дней.

Дочерний тенант копирует период хранения алертов и инцидентов из родительского тенанта. При необходимости вы можете изменить период хранения алертов и инцидентов для дочернего тенанта.

Чтобы настроить период хранения алертов или инцидентов:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры нажмите на Срок хранения.
4. Укажите новый период хранения в одном или обоих полях:
   • Срок хранения алерта (сут)
   • Срок хранения инцидента (сут)

   Минимальное значение – 1.

5. Нажмите на кнопку Сохранить.

Новый период хранения будет настроен.

Независимо от настроенного периода хранения, если истекший алерт связан с неистекшим инцидентом, алерт будет удален только после истечения периода хранения связанного инцидента. Если истекший инцидент имеет неистекшие связанные алерты, инцидент будет удален только после истечения периода хранения связанных алертов.

Просмотр информации об активе

Детали актива – это окно, которое содержит всю информацию, связанную с активом.

Вы можете просмотреть детали актива одним из следующих способов:

• из деталей алерта;
• из деталей инцидента;
• из деталей события (если событие содержит активы).

Чтобы просмотреть сведения об активе:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты и выполните одно из следующих действий:
   • Если вы хотите просмотреть детали активов из деталей алерта, нажмите Алерты, а затем в столбце Идентификатор нажмите на идентификатор алерта, которое включает актив, детали которого вы хотите просмотреть. В открывшемся окне выберите вкладку Активы.
   • Если вы хотите просмотреть детали активов из деталей инцидента, нажмите Инциденты, а затем в столбце Идентификатор нажмите на идентификатор инцидента, которое включает актив, детали которого вы хотите просмотреть. В открывшемся окне выберите вкладку Активы.
   • Если вы хотите просмотреть детали активов из деталей события, нажмите Поиск угроз, а затем нажмите на событие, которое содержит актив, детали которого вы хотите просмотреть.
2. Нажмите на имя требуемого актива и в раскрывающемся списке выберите Просмотреть свойства.

Отображается окно с деталями актива.

Окно с подробной информацией актива содержит следующие разделы:

• Свойства актива – информация об активе, например название актива, идентификатор и тенант, которому принадлежит актив.

  Если действующая лицензия в KUMA включает AI-модуль, отображается поле AI-оценка и оценка актива. Это поле показывает степень нетипичной активности актива и может принимать значения в диапазоне от 0 до 1, где 0 – это ожидаемое поведение, 1 – это неожиданное поведение для актива в рамках инфраструктуры.

• Категории – информация о категориях, связанных с активом.
• Пользовательские поля – поля активов, которые вы создали в Консоли KUMA.
• Установленное программное обеспечение – информация о программном обеспечении, установленном на активе.
• KSC: уязвимости – уязвимости актива, если есть. Эта информация доступна для активов, импортированных из Kaspersky Security Center.
• Приложения "Лаборатории Касперского" – информация о приложениях "Лаборатории Касперского", установленных на активе.
• Состояние защиты устройства – статус актива; возможны следующие значения: OK, Критический, Предупреждение. Эта информация доступна для активов, импортированных из Kaspersky Security Center.
• KICS for Networks: свойства актива – информация об активе. Эта информация импортируется из KICS for Networks.
• KICS for Networks: уязвимости – уязвимости актива, если есть. Эта информация доступна для активов, импортированных из KICS for Networks.

Вы можете расширить разделы, нажав на значки () рядом с их названиями.