Работа с инцидентами

В этом разделе содержится общая информация об инцидентах, их свойствах, типичном жизненном цикле и связи с алертами. В этом разделе также приведены инструкции по созданию инцидентов, анализу таблицы инцидентов, изменению свойств инцидентов в соответствии с текущим состоянием в жизненном цикле и объединению инцидентов.

Раздел Инциденты отображается в главном меню, если выполняются следующие условия:

• У вас есть лицензионный ключ для использования Open Single Management Platform.
• Вы подключены к корневому Серверу администрирования в Консоли OSMP.
• У вас есть одна из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Менеджер SOC, Работа с НКЦКИ, Подтверждающий, Наблюдатель.

Об инцидентах

Развернуть все | Свернуть все

Инцидент – это контейнер обнаружений, который обычно указывает на истинно положительную проблему в ИТ-инфраструктуре организации. Инцидент может содержать один или несколько алертов. Используя инциденты, аналитики могут исследовать несколько алертов как одну проблему.

Вы можете создавать инциденты вручную или включить правила автоматического создания инцидентов. После создания инцидента вы можете связать алерты с ним. Вы можете связать с инцидентом до 200 алертов.

После создания инцидентов Open Single Management Platform добавляет их в таблицу инцидентов как объекты, которые должны быть обработаны аналитиками.

Инциденты можно назначить только аналитикам, имеющим право на чтение и изменение алертов и инцидентов.

Вы можете управлять инцидентами как объектами, используя следующие свойства инцидента:

• Статус инцидента.

  Статус инцидента показывает текущее состояние инцидента в его жизненном цикле. Вы можете изменить статус по своему усмотрению.

  Поддерживаются две модели статусов инцидентов. Подробности см. в разделе: Изменение статуса инцидента.

• Уровень важности инцидента.

  Возможные значения: Низкий, Средний, Высокий или Критичный.

  Уровень важности инцидента показывает, какое влияние этот инцидент может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского". Уровень важности инцидента соответствует наивысшему уровню важности связанных алертов и не может быть изменен вручную.

• Приоритет инцидента.

  Возможные значения: Низкий, Средний, Высокий или Критичный.

  Приоритет инцидентов определяет порядок, в котором инциденты должны расследоваться аналитиками. Инциденты с приоритетом Критический являются наиболее важными и должны быть расследованы в первую очередь. Вы можете изменить приоритет инцидента вручную.

• Исполнитель инцидента.

  Владелец инцидента, аналитик, который отвечает за расследование и обработку инцидента. Вы можете изменить исполнителя инцидента в любое время, если параметр Статус не равен Закрыт.

Два или более инцидента могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае вы можете объединить инциденты, чтобы исследовать их как единую проблему.

У каждого инцидента есть детали инцидента, которые предоставляют всю информацию, связанную с инцидентом. Вы можете использовать эту информацию для расследования инцидента или объединения инцидентов.

Для каждого инцидента вы можете создавать дочерние инциденты. Дочерние инциденты позволяют вам исследовать инциденты и реагировать на них в разных тенантах. Вы также можете создать дочерний инцидент другого дочернего инцидента. Родительский инцидент может иметь не более 200 дочерних инцидентов.

Модель данных инцидента

Структура инцидента представлена полями, которые содержат значения (см. таблицу ниже). Некоторые поля являются объектами или массивами объектов со своим набором полей (например, поля Assignee и Alerts).

Инцидент

IncidentType

Исполнитель

UnkeyedAttachment

Создание инцидентов

Развернуть все | Свернуть все

Вы можете создавать инциденты вручную или включить правила автоматического создания инцидентов. В этой статье описано, как создавать инциденты вручную.

Чтобы иметь возможность создавать инциденты, у вас должны быть права на чтение и изменение алертов и инцидентов.

Если инцидент создается вручную, плейбуки не запускаются автоматически. Вы можете запустить плейбук для такого инцидента вручную.

Вы можете создавать инциденты с помощью таблицы инцидентов или таблицы алертов.

Создание инцидентов с помощью таблицы инцидентов

Чтобы создать инцидент:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты. Нажмите на кнопку Создать инцидент.
2. На шаге Общие параметры укажите следующие параметры:
   • Название инцидента.
   • Тенант

     Тенант, с которым связан инцидент. Алерты могут быть связаны только с инцидентом, принадлежащим тому же тенанту. Вы не сможете изменить тенант инцидента позже.

   • Исполнитель.

     Владелец инцидента, аналитик, который отвечает за расследование и обработку инцидента. Вы можете изменить исполнителя инцидента в любое время, если параметр Статус не равен Закрыт.

   • Приоритет.

     Возможные значения: Низкий, Средний, Высокий или Критичный.

     Приоритет инцидентов определяет порядок, в котором инциденты должны расследоваться аналитиками. Инциденты с приоритетом Критический являются наиболее важными и должны быть расследованы в первую очередь. Вы можете изменить приоритет инцидента вручную.

   • Описание

     В этом поле вы можете написать описание инцидента. Например, вы можете описать проблему или предоставить результаты расследования связанных алертов. Описание будет добавлено в раздел Описание в сведениях об инциденте.

     Поле не является обязательным.

3. Нажмите на кнопку ОК.

   Инцидент создан.

Создание инцидентов с помощью таблицы алертов

Вы создаете инцидент, выбирая алерты для связи с новым инцидентом. См. как связать алерты с инцидентами.

Просмотр таблицы инцидентов

В таблице инцидентов представлена информация обо всех созданных инцидентах.

Чтобы просмотреть таблицу инцидентов:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.

   Откроется таблица инцидентов.

2. При необходимости отфильтруйте тенанты. По умолчанию фильтр тенантов выключен и в таблице инцидентов отображаются инциденты, относящиеся ко всем тенантам, к которым у вас есть права доступа. Чтобы применить фильтр для тенантов:
   1. По ссылке рядом с параметром Фильтр тенантов откройте список тенантов.
   2. Установите флажки рядом с требуемыми тенантами.

      В таблице инцидентов отобразятся только инциденты, обнаруженные на активах, принадлежащих выбранным тенантам.

Таблица инцидентов содержит следующие столбцы:

• Создан – дата и время создания инцидента.
• Продолжительность угрозы – время между самыми ранними и самыми последними событиями среди всех алертов, связанных с инцидентом.
• Время обновления – дата и время последнего изменения в истории инцидента.
• ID инцидента – идентификатор инцидента.
• Статус – текущий статус инцидента.
• Статус изменен – дата и время, когда был изменен статус инцидента.
• Критичность – важность инцидента.
• Приоритет – приоритет инцидента.
• Количество связанных алертов – количество алертов в инциденте. По умолчанию этот столбец скрыт.
• Имя – название инцидента.
• Правила – правила, которые сработали для создания инцидента.
• Затронутые активы – устройства и пользователи, затронутые инцидентом. If the number of assets affected by or involved in the incident is greater than or equal to three, the number of affected devices is displayed. По умолчанию этот столбец скрыт.
• Тенант – имя тенанта, у которого был обнаружен инцидент.
• Аналитик – текущий исполнитель инцидента.
• Технология – технологии, зарегистрировавшие алерты, связанные с инцидентом.
• Метод создания – способ создания инцидента, вручную или автоматически.
• Наблюдаемые объекты – количество обнаруженных артефактов, например IP-адреса или MD5-хеши файлов.
• Объект КИИ – наличие хотя бы одного актива, который включен в инцидент и является объектом критической информационной инфраструктуры (КИИ).

  Принимает значение Да, если затронутый актив – это объект КИИ первой, второй, третьей категории значимости или объект КИИ без категории значимости. Столбец доступен для отображения, если лицензия приложения включает модуль ГосСОПКА.

Экспорт информации инцидентов

Вы можете экспортировать информацию обо всех инцидентах, которые отображаются в таблице инцидентов в файл JSON. Это может потребоваться, когда вам нужно будет предоставить эту информацию третьим сторонам.

Чтобы экспортировать информацию инцидентов вам нужно иметь одну из следующих XDR-ролей: Главный администратор, Администратор тенанта, Младший аналитик, Аналитик 1-го уровня, Аналитик 2-го уровня, Менеджер SOC, Работа с НКЦКИ, Подтверждающий, Наблюдатель.

Чтобы экспортировать информацию об инцидентах:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.

   Отобразится таблица инцидентов.

2. Если необходимо группировать и фильтровать данные в таблице следующим образом:
   • Нажмите на значок фильтрации (), укажите и примените критерий фильтрации в открывшемся меню.
   • Нажмите на значок параметров () и выберите столбцы для отображения в таблице.

   Отобразится таблица отфильтрованных инцидентов.

3. Нажмите на кнопку Экспортировать.
4. В открывшемся окне выберите папку, в которую вы хотите сохранить файл JSON, и нажмите на кнопку Сохранить.

Если операция завершена успешно, на экране отображается соответствующее сообщение. Иначе отображается сообщение об ошибке.

Просмотр сведений об инциденте

Развернуть все | Свернуть все

Сведения об инциденте – это страница в интерфейсе, которая содержит всю информацию, относящуюся к инциденту, включая свойства инцидента.

Чтобы просмотреть сведения об инциденте:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. В таблице инцидентов нажмите на идентификатор требуемого инцидента.

Откроется окно со сведениями об инциденте.

Панель инструментов в верхней части информации об инциденте позволяет выполнять следующие действия:

• Измените значения полей Имя, Описание и Внешняя ссылка
• Назначить инцидент аналитику
• Изменить статус инцидента
• Изменить приоритет инцидента
• Связать алерты с инцидентом
• Объединить инцидент с другими инцидентами
• Открыть граф расследования
• Выбрать плейбук

Сведения об инциденте содержат следующие разделы:

• Этот раздел содержит следующие свойства инцидента:

  • Тип. Тип инцидента.
  • Аналитик. Текущий исполнитель инцидента.
  • Метод создания. Как был создан инцидент, вручную или автоматически.
  • Имя. Имя, указанное при создании инцидента. Вы можете нажать на кнопку Изменить, чтобы изменить название инцидента.
  • Тенант. Имя тенанта, у которого был обнаружен инцидент.
  • Связанные тенанты. Имена тенантов, алерты которых связаны с инцидентом.
  • Активы. Количество пользователей и устройств, которые были затронуты инцидентом.
  • Зарегистрировано. Дата и время создания инцидента.
  • Время обновления. Дата и время последнего изменения в истории инцидента.
  • Первое событие. Дата и время первого события, связанного с инцидентом. Это самое раннее событие в разделе Детали алерта среди всех алертов, связанных с инцидентом.
  • Последнее событие. Дата и время последнего события, связанного с инцидентом. Это последнее событие в разделе Детали алерта среди всех алертов, связанных с инцидентом.
  • Описание. Описание инцидента. Вы можете нажать на кнопку Изменить, чтобы добавить описание.
  • Внешняя ссылка. Ссылка на объект во внешней системе. Вы можете нажать на кнопку Изменить, чтобы указать внешнюю ссылку.
  • Приоритет. Возможные значения: Низкий, Средний, Высокий или Критический. Приоритет инцидентов определяет порядок, в котором инциденты могут расследоваться. Инциденты с приоритетом Критический являются наиболее важными и могут быть расследованы в первую очередь. Вы можете изменить приоритет, нажав на текущее значение приоритета.
  • Критичность. Возможные значения: Низкий, Средний или Высокий. Уровень важности инцидента показывает, какое влияние этот инцидент может оказать на безопасность устройства или корпоративную локальную сеть на основе опыта "Лаборатории Касперского".
  • Правила. Правила, которые сработали для регистрации связанных алертов. Вы можете нажать на значок с многоточием рядом с названием правила, чтобы открыть контекстное меню. Используйте это меню, чтобы узнать больше о правиле, найти алерты или инциденты, которые были зарегистрированы этим же правилом, или найти события, инициировавшие правило, в разделе Поиск угроз за период между первым и последним событием инцидента.

    Когда в меню вы нажимаете на раздел Перейти в Поиск угроз, раздел Поиск угроз открывается в той же вкладке. Если вы хотите открыть раздел Поиск угроз в новой вкладке браузера, зажмите клавишу Ctrl и в меню нажмите на раздел Перейти в Поиск угроз.

  • Технология. Список технологий, зарегистрировавших алерты, связанные с инцидентом.
  • Тактика MITRE. Тактика или несколько тактик, зарегистрированных в алертах, связанных с инцидентом. Тактика определена в базе знаний MITRE ATT&CK.
  • Техника MITRE. Техника или несколько техник, зарегистрированных в алертах, связанных с инцидентом. Методы определены в базе знаний MITRE ATT&CK.
  • Дополнительные данные. Дополнительная информация об инциденте. Вы можете изменить значение в этом поле только с помощью плейбука. Поле отображается, если вы добавили значение.
• Подробная информация

  В разделе Подробнее вы можете отслеживать события телеметрии, связанные с инцидентом.

  Чтобы просмотреть события, связанные с инцидентом, нажмите на кнопку Поиск угроз. В открывшейся таблице отобразятся события алерта, связанные с инцидентом.

  Панель инструментов таблицы событий позволяет выполнить следующие действия:

  • Скачать события. Вы можете нажать на кнопку TSV, чтобы скачать информацию о связанных событиях из TSV-файла.
  • Удалить связь с инцидентом. Вы можете выбрать событие или несколько событий в таблице и нажать на эту кнопку, чтобы удалить связь выбранных событий с алертом, связанным с инцидентом.

  Вы можете вернуться к деталям инцидента, нажав на кнопку Исследование инцидента или на кнопку Назад в вашем браузере.

• Подобные инциденты

  В разделе Подобные инциденты вы можете просмотреть список инцидентов, которые имеют те же затронутые артефакты, что и текущий инцидент. Затронутые артефакты включают как наблюдаемые объекты, так и затронутые устройства алертов, связанных с инцидентом. В списке есть инциденты во всех статусах.

  С помощью вы можете оценить степень сходства текущего инцидента и других инцидентов. Сходство рассчитывается следующим образом:

  Сходство = M / T * 100

  Здесь "M" – количество артефактов, совпадающих в текущем и аналогичном инциденте, "T" – общее количество артефактов в текущем инциденте.

  Если сходство составляет 100%, в текущем инциденте нет ничего нового по сравнению с аналогичным инцидентом. Если сходство равно 0%, текущий инцидент и схожий инцидент полностью различаются. Инциденты, имеющие сходство 0%, не включаются в список.

  Расчетное значение округляется до ближайшего целого числа. Если сходство равно значению от 0% до 1%, приложение не округляет это значение до 0%. В этом случае значение отображается меньше 1%.

  При нажатии на идентификатор инцидента открывается подробная информация об инциденте.

  Настройка списка похожих инцидентов

  Вы можете настроить таблицу, используя следующие параметры:

  • Отфильтруйте инциденты, выбрав период, за который были обновлены инциденты. По умолчанию список содержит инциденты, которые обновлялись за последние 30 дней.
  • Нажмите на значок Параметры столбцов () и выберите, какие столбцы отображать и в каком порядке.
  • Нажмите на значок Фильтр (), выберите и настройте фильтры, которые хотите применить. Если вы выбрали несколько фильтров, они применяются одновременно с помощью логического оператора И.
  • Нажмите на заголовок столбца и выберите параметры сортировки. Вы можете отсортировать инциденты в порядке возрастания или убывания.
• Алерты

  В разделе Алерты вы можете просмотреть список алертов, связанных с текущим инцидентом.

  Нажав на идентификатор алерта, вы можете открыть детали алерта. Вы также можете использовать кнопки панели инструментов, чтобы удалить связь алерта с инцидентом.

• Активы

  В разделе Активы вы можете просмотреть устройства и пользователей, затронутых или вовлеченных в инцидент.

  Таблица активов содержит следующие столбцы:

  • Тип актива.

    Возможные значения: устройство или пользователь.

  • Имя актива.
  • Идентификатор актива.
  • Имеет признаки.

    Возможные значения: атакующий или атакуемый.

  • Статус авторизации.

    Этот параметр применяется только к типу актива – устройство. Статус авторизации устройства определяется KICS for Networks. Вы можете изменить статус авторизации, применив соответствующее действие по реагированию к устройству.

  • Сервер администрирования.

    Сервер администрирования, который управляет устройством.

  • Группа администрирования.

    Группа администрирования, к которой принадлежит пользователь.

  • Категории.

    Категории активов, в которые входит актив.

  • Категория КИИ.

    Информация о том, является ли актив объектом критической информационной инфраструктуры (КИИ). Столбец доступен для отображения, если лицензия приложения включает модуль ГосСОПКА и если вам назначена одна из следующих ролей XDR: Доступ к объектам КИИ, Главный администратор.

    Возможные значения:

    • Объект КИИ первой категории значимости.
    • Объект КИИ второй категории значимости.
    • Объект КИИ третьей категории значимости.
    • Объект КИИ без категории значимости.
    • Информационный ресурс не является объектом КИИ.

  Нажав на имя пользователя или устройства, вы можете:

  • Выполнить поиск по имени пользователя или идентификатору устройства в разделе Поиск угроз за период между первым и последним событием инцидента.
  • Выполнить поиск по имени пользователя или идентификатору устройства в других алертах.
  • Выполнить поиск по имени пользователя или идентификатору устройства в других инцидентах.
  • Скопировать имя пользователя или имя устройства в буфер обмена.

  Вы также можете нажать на имя устройства, чтобы открыть свойства устройства.

  Нажав на идентификатор пользователя или идентификатор устройства, вы можете:

  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в разделе Поиск угроз за период между первым и последним событием инцидента.
  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в других алертах.
  • Выполнить поиск по идентификатору пользователя или идентификатору устройства в других инцидентах.
  • Скопировать идентификатор пользователя или идентификатор устройства в буфер обмена.

  Вы также можете нажать на идентификатор устройства, чтобы открыть его свойства.

• Наблюдаемые объекты

  В разделе Наблюдаемые объекты вы можете просмотреть наблюдаемые объекты, которые относятся к алертам, связанными с текущим инцидентом. Наблюдаемые объекты могут включать:

  • MD5-хеш
  • IP-адрес
  • URL
  • Имя домена
  • SHA256
  • UserName
  • HostName

  Нажав на ссылку в столбце Значение, вы можете:

  • Поиск наблюдаемого значения в разделе Поиск угроз за период между первым и последним событием инцидента.

    Если после перехода по ссылке в столбце Значение вы выбираете в меню раздел Перейти в Поиск угроз, раздел Поиск угроз открывается на той же вкладке. Если вы хотите открыть раздел Поиск угроз в новой вкладке браузера, зажмите клавишу Ctrl и в меню нажмите на раздел Перейти в Поиск угроз.

  • Выполнить поиск по значению наблюдаемого объекта в Kaspersky Threat Intelligence Portal (открывается в новой вкладке браузера).
  • Выполнить поиск по значению наблюдаемого объекта в других алертах.
  • Выполнить поиск по значению наблюдаемого объекта в других инцидентах.
  • Скопировать значение наблюдаемого объекта в буфер обмена.

  Панель инструментов этого раздела содержит следующие кнопки:

  • Запросить статусы Kaspersky TIP. Используйте эту кнопку, чтобы получить подробную информацию о выбранном наблюдаемом объекте в Kaspersky Threat Intelligence Portal (Kaspersky TIP). В результате информация обновляется в столбце Статус обновления. Требуется интеграция с Kaspersky Threat Intelligence Portal (премиум-доступ).
  • Обогатить данные Kaspersky TIP. Используйте эту кнопку, чтобы получить подробную информацию обо всех перечисленных наблюдаемых объектах из Kaspersky TIP. В результате информация обновляется в столбце Обогащение. Используйте ссылку в столбце Обогащение, чтобы открыть полученные сведения об обогащении наблюдаемого объекта. Требуется интеграция с Kaspersky Threat Intelligence Portal (премиум-доступ).
  • Поместить на карантин. Используйте эту кнопку, чтобы переместить устройство, на котором находится файл, на карантин. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Добавить правило запрета. Используйте эту кнопку, чтобы добавить правило, запрещающее запуск файла. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Удалить правило запрета. Используйте эту кнопку, чтобы удалить правило, запрещающее запуск файла. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
  • Прервать процесс. Используйте эту кнопку, чтобы прервать процессы, связанные с файлом. Эта кнопка доступна только для хешей (MD5 или SHA256) наблюдаемых объектов.
• История

  В разделе История журнала событий вы можете отслеживать изменения, внесенные в инцидент как в объект:

  • Изменение статуса инцидента.
  • Изменение исполнителя инцидента.
  • Связь алерта с инцидентом.
  • Удаление связи алерта с инцидентом.
  • Объединение инцидента с другими инцидентами.
  • Загрузка файла в инцидент.
  • Удаление файла из инцидента.

  В разделе История реагирований вы можете просмотреть действия по реагированию, выполненные вручную, а также действия, выполненные в рамках плейбука. Таблица содержит следующие столбцы:

  • Время. Время возникновения события.
  • Запущено. Имя пользователя, запустившего действие по реагированию.
  • События. Описание события.
  • Параметры реагирования. Параметры действия по реагированию, указанные в действии по реагированию.
  • Актив. Количество активов, для которых было запущено действие по реагированию. Вы можете перейти по ссылке с номером актива, чтобы просмотреть подробную информацию об активе.
  • Статус действия. Статус выполнения действия по реагированию. В этом столбце могут отображаться следующие значения:
    • Ожидание подтверждения – действие по реагированию ожидает подтверждения для запуска.
    • В обработке – действие по реагированию выполняется.
    • Успешно – действие по реагированию завершено без ошибок или предупреждений.
    • Предупреждение – действие по реагированию завершено с предупреждениями.
    • Ошибка – действие по реагированию завершено с ошибками.
    • Прервано – действие по реагированию завершено, так как пользователь прервал выполнение.
    • Истекло время подтверждения – действие по реагированию завершено, так как время подтверждения для запуска истекло.
    • Отклонено – действие по реагированию завершено, так как пользователь отклонил запуск.
  • Плейбук. Название плейбука, в котором было запущено действие по реагированию. Вы можете перейти по ссылке, чтобы просмотреть подробную информацию о плейбуке.
  • Действие по реагированию. Имя выполненного действия по реагированию.
  • Тип актива. Тип актива, для которого запускается действие по реагированию. Возможные значения: Устройство или Пользователь.
  • Активы тенанта. Тенант, являющийся владельцем актива, для которого было запущено действие по реагированию.
• Комментарии

  В разделе Комментарии вы можете оставлять комментарии, связанные с инцидентом. Например, вы можете написать комментарий о результатах расследования или при изменении свойств инцидента, таких как исполнитель или статус инцидента.

  Вы можете изменять или удалять свои комментарии. Комментарии других пользователей невозможно изменить или удалить.

  Чтобы сохранить комментарий, нажмите на клавишу Enter. Чтобы начать новую строку, нажмите на клавиши Shift + Enter. Чтобы изменить или удалить свой комментарий, используйте кнопки в правом верхнем углу.

  Для возможности оставлять комментарии требуется право на Запись в функциональной области Алерты и инциденты.

Назначение инцидентов аналитикам

Как объект, инцидент должен быть передан аналитику SOC для проверки и возможного расследования. Вы можете изменить статус инцидента в любое время.

Инциденты можно назначить только аналитикам, имеющим право на чтение и изменение алертов и инцидентов.

Чтобы назначить аналитику инциденты:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. Установите флажки рядом с инцидентами, которые требуется назначить аналитику.

   Вам нужно выбрать только инциденты, обнаруженные в одном тенанте. Иначе кнопка Назначить будет неактивна.

   Кроме того, вы можете назначить инцидент аналитику из деталей инцидента. Чтобы открыть детали инцидента, нажмите на ссылку с идентификатором инцидента.

3. Нажмите на кнопку Назначить.
4. В открывшемся окне Назначить аналитику начните вводить имя аналитика или электронную почту, а затем выберите аналитика из списка.

   Вы также можете выбрать вариант Не назначен.

5. Нажмите на кнопку Назначить.

Инциденты назначены аналитику.

Также назначить аналитика для решения инцидента можно с помощью плейбуков.

Изменение статуса инцидента

Развернуть все | Свернуть все

Как объект, инцидент имеет статус, который показывает текущее состояние инцидента в его жизненном цикле.

Вы можете изменять статус для своих инцидентов или инцидентов других аналитиков, только если у вас есть право Запись в функциональной области алертов и инцидентов. Для закрытия инцидента требуется право Закрытие в функциональной области алертов и инцидентов.

Если статус инцидента изменен вручную, плейбуки не будут запускаться автоматически. Вы можете запустить плейбук для такого инцидента вручную.

Поддерживаются две модели статусов инцидентов:

1. Стандартная:
   • Новый

     Когда вы создаете инцидент или он создается автоматически, инцидент имеет статус Новый. Вы можете изменить статус инцидента на В обработке или Закрыт. Когда вы меняете статус Новый на В обработке, инцидент назначается вам автоматически. Когда вы меняете статус Новый на Закрыт и у инцидента нет исполнителя, он автоматически назначается вам.

   • В обработке

     Этот статус означает, что аналитик начал работу над инцидентом или возобновил работу, изменив статус Отложен. Когда вы устанавливаете статус В обработке, инцидент назначается вам автоматически. Изменить статус В обработке можно на любой другой.

   • Отложен

     Этот статус означает, что аналитик приостановил работу над инцидентом. Обычно вы меняете статус Отложен на В обработке, когда работа возобновляется, но также можно изменить статус Отложен на другие статусы.

   • Закрыт

     Вы закрываете инциденты, когда не требуется никакой дополнительной работы над инцидентом. Вы можете закрыть инцидент, по которому принято одно из следующих решений:

     • Верное срабатывание.
     • Ложное срабатывание.
     • Низкий приоритет.

     При закрытии инцидента, связанные обнаружения также получают статус Закрыто и наследуют решение инцидента. Если у инцидента нет исполнителя, закрытый инцидент автоматически назначается вам. Если закрытый инцидент имеет неназначенные связанные обнаружения, эти обнаружения автоматически назначаются вам.

     Статус Закрыт можно изменить только на статус Новый. Если вы хотите вернуть закрытый инцидент в работу, измените его статус следующим образом: Закрыт → Новый → В обработке.

2. Совместимая с ГОСТ:
   • Новый

     Когда вы создаете инцидент или он создается автоматически, инцидент имеет статус Новый. Вы можете изменить статус инцидента на Анализ. Когда вы меняете статус Новый на Анализ, инцидент назначается вам автоматически.

   • Анализ

     Этот статус означает, что аналитик начал работу над инцидентом и проводит первичный анализ и определение вовлеченных в инцидент элементов информационной инфраструктуры.

     Вы можете изменить статус инцидента на Локализация или Выполнен.

   • Локализация

     Этот статус означает, что выполняется меры по предотвращению дальнейшего распространения инцидента.

     Вы можете изменить статус инцидента на Последствия или Выполнен.

   • Последствия

     Этот статус означает, что выполняется выявление последствий инцидента на вовлеченные в него элементы информационной инфраструктуры.

     Вы можете изменить статус инцидента на Ликвидация или Выполнен.

   • Ликвидация

     Этот статус означает, что выполняется устранение последствий инцидента.

     Вы можете изменить статус инцидента на Выполнен.

   • Выполнен

     Этот статус означает, что проводится оценка полноты выполненных действий на этапах Анализ, Локализация, Последствия и Ликвидация.

     Вы можете изменить статус инцидента на Закрыт, Анализ, Локализация, Последствия, Ликвидация.

   • Закрыт

     Вы можете закрыть инцидент, по которому принято одно из следующих решений:

     • Верное срабатывание.
     • Ложное срабатывание.
     • Низкий приоритет.

     При закрытии инцидента, связанные обнаружения также получают статус Закрыт и наследуют решение инцидента. Если закрытый инцидент имеет неназначенные связанные обнаружения, эти обнаружения автоматически назначаются вам.

Чтобы сменить модель статусов на совместимую с ГОСТ:

1. В файле docker/compose/osmp.yaml укажите значение переменной окружения OSMP_WORKFLOW_ID.

   OSMP_WORKFLOW_ID: "gost"

2. В файле /plugins/irp/.env укажите значение переменной FEATURE_GOST_STATUS.

   FEATURE_GOST_STATUS=true

Статусы инцидентов не конвертируются при смене модели статуса. Не рекомендуется менять модель статусов, если у вас есть активные инциденты.

Чтобы изменить статус одного или нескольких инцидентов:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. Выполните одно из следующих действий:
   • Установите флажки напротив инцидентов, которым требуется изменить статус.
   • Перейдите по ссылке с идентификатором инцидента, статус которого вы хотите изменить.

     Откроется окно Сведения об инциденте.

3. Нажмите на кнопку Изменить статус.
4. В панели Изменить статус выберите статус, который нужно установить.

   Если вы выберете статус Закрыт, вам нужно выбрать решение и написать короткий комментарий.

   Если вы измените статус инцидента на Закрыт и этот инцидент содержит незавершенные плейбуки или действия по реагированию, все связанные плейбуки и действия по реагированию будут прекращены.

5. Оставьте комментарий (необязательно).
6. Нажмите на кнопку Сохранить.

Статусы выбранных инцидентов будут изменены.

Изменение приоритета инцидента

Как объект, инцидент имеет приоритет, который определяет порядок, в котором инцидент должен расследоваться аналитиками. Вы можете изменить приоритет инцидента вручную.

Вы можете изменять приоритеты инцидентов для своих инцидентов или инцидентов других аналитиков, только если у вас есть право доступа на чтение и изменение алертов и инцидентов.

Инцидент может иметь один из следующих приоритетов:

• Низкий.
• Средний (значение по умолчанию).
• Высокий.
• Предельный.

Инциденты с приоритетом Критический являются наиболее важными и должны быть расследованы в первую очередь. Низкий приоритет обычно означает, что инцидент помещен в очередь. Вы можете определить свои собственные критерии того, какой приоритет должен быть установлен для какого инцидента.

Чтобы изменить приоритет инцидента:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. Выполните одно из следующих действий:
   • Установите флажки напротив инцидентов, которым требуется изменить приоритет.
   • Нажмите на идентификатор инцидента, чтобы открыть сведения об инциденте, приоритет которого вы хотите изменить.
3. Нажмите на кнопку Изменить приоритет.
4. В окне Изменить приоритет выберите приоритет, который нужно установить.
5. Нажмите на кнопку Сохранить.

Приоритеты выбранных инцидентов будут изменены.

Также изменить приоритет инцидента можно с помощью плейбуков.

Объединение инцидентов

Два или более инцидента могут быть интерпретированы как индикаторы одной и той же проблемы в ИТ-инфраструктуре организации. В этом случае вы можете объединить инциденты, чтобы исследовать их как единую проблему.

Когда вы объединяете инциденты, вам нужно выбрать среди них целевой инцидент. После объединения инцидента проблему необходимо исследовать в рамках целевого инцидента. Целевой инцидент должен иметь статус, отличный от статуса Закрытый. Остальные инциденты объединяются в целевой и после объединения получают статус Закрытый и решение Объединено.

Все алерты, связанные с объединенными инцидентами, автоматически связываются с целевым инцидентом. Так как у инцидента не может быть более 200 связанных алертов, приложение считает алерты, связанные с инцидентами, которые вы хотите объединить. Если общее количество связанных алертов превышает 200, выбранные инциденты не могут быть объединены.

Вы не можете объединять дочерние инциденты или инциденты, у которых есть дочерние инциденты.

Чтобы объединить инциденты из таблицы инцидентов:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. Установите флажки рядом с инцидентами, которые требуется объединить в целевой инцидент. На первом шаге мастера нужно будет выбрать целевой инцидент.
3. Нажмите на кнопку Объединить инциденты.

   Откроется мастер объединения инцидентов.

4. Выберите целевой инцидент.
5. Нажмите на кнопку ОК.

Инциденты объединены.

Чтобы объединить инциденты с использованием сведений об инциденте:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. Нажмите на идентификатор инцидента, чтобы открыть сведения об инциденте. Этот инцидент будет объединен с целевым инцидентом. На первом шаге мастера нужно будет выбрать целевой инцидент.
3. Нажмите на кнопку Объединить инциденты.

   Откроется мастер объединения инцидентов.

4. Выберите целевой инцидент.
5. Нажмите на кнопку ОК.

Инциденты объединены.

Изменение инцидентов с использованием плейбуков

Развернуть все | Свернуть все

Open Single Management Platform позволяет изменять инциденты вручную или с использованием плейбуков. При создании плейбука, вы можете настроить алгоритм плейбука для изменения свойств инцидента.

Чтобы изменить инцидент с помощью плейбука, вам должна быть присвоена одна из следующих ролей: Главный администратор, Администратор SOC, Аналитик 1-го уровня, Аналитик 2-го уровня или Администратор тенанта.

Вы не можете изменять инциденты, которые имеют статус Закрыт.

Вы можете изменить следующие свойства инцидента с помощью плейбука:

• Исполнитель.
• Статус рабочего процесса инцидента.
• Тип инцидента.
• Комментарий.
• Описание.
• Приоритет.
• Атрибут ExternalReference.
• Дополнительный атрибут данных.

Примеры выражений, которые вы можете использовать в алгоритме плейбука для изменения свойств инцидента:

• Назначение инцидента пользователю.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "assignIncident", "params": { "assignee": { "id": "user_ID" } } } } } ] }

  Во время изменения исполнителя в алгоритме плейбука отображаются подсказки. Для удобства подсказки содержат строку поиска, где вы можете выполнить поиск по имени. Если вы хотите указать исполнителя инцидента, вы можете выполнить поиск соответствующей записи по имени пользователя, и этот идентификатор будет указан в алгоритме.

• Отмена назначения инцидента пользователю
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "assignIncident", "params": { "assignee": { "id": "nobody" } } } } } ] }
• Изменение статуса рабочего процесса инцидента.

  Чтобы изменить статус рабочего процесса инцидента на Открыт:

  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentStatus", "params": { "typeId": "af9dd279-fc30-4596-963b-942f79920375", "statusId": "4db36105-5223-4078-b72c-e9e9983b0987" } } } } ] }

  Чтобы изменить статус рабочего процесса инцидента на Закрыт:

  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentStatus", "params": { "statusId": "INCIDENT_STATUS_ID", "statusResolution": "truePositive" } } } } ] }

  Вы также можете указать следующие значения для параметра statusResolution: falsePositive и lowPriority.

  Чтобы изменить статус рабочего процесса инцидента на пользовательский статус:

  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentStatus", "params": { "typeId": "22222222-2222-2222-2222-222222222222", "statusId": "11111111-1111-1111-1111-111111111111" } } } } ] }

  Во время изменения статуса рабочего процесса инцидента в алгоритме плейбука отображаются подсказки. Для удобства подсказки содержат строку поиска, где вы можете выполнить поиск по имени. Если вы хотите указать статус рабочего процесса инцидента, вы можете выполнить поиск соответствующей записи по названию, и этот идентификатор будет указан в алгоритме.

• Изменение типа инцидента.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentType", "params": { "id": "INCIDENT_TYPE_UUID" } } } } ] }

  Во время изменения типа инцидента в алгоритме плейбука отображаются подсказки. Для удобства подсказки содержат строку поиска, где вы можете выполнить поиск по имени. Если вы хотите указать тип инцидента, вы можете выполнить поиск соответствующей записи по названию, и этот идентификатор будет указан в алгоритме.

• Добавление комментария к инциденту.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "addCommentToIncident", "params": { "text": "${ \"Новый комментарий к инциденту с идентификатором: \\(incident.ID)\" }" } } } } ] }
• Изменение описания инцидента.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentDescription", "params": { "description": "${ incident.ID | tostring | \"New comment for incident with ID: \" + . }", "mode": "replace" } } } } ] }

  Чтобы дополнить существующее описание, укажите значение append для параметра mode.

• Изменение приоритета инцидента.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentPriority", "params": { "priority": "critical" } } } } ] }

  Вы также можете указать следующие значения для параметра priority: high, medium, low.

• Изменение атрибута ExternalReference.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "setIncidentExternalRef", "params": { "externalRef": "${ \"new extReference value\" }", "mode": "replace" } } } } ] }

  Чтобы дополнить атрибут ExternalReference, укажите значение append для параметра mode.

• Изменение Дополнительного атрибута данных.
  { "dslSpecVersion": "1.1.0", "version": "1", "actionsSpecVersion": "1", "executionFlow": [ { "action": { "function": { "type": "addIncidentAdditionalData", "params": { "data": "${ {\"customKey\": \"customValue\"} }", "mode": "replace" } } } } ] }

  Чтобы дополнить Дополнительный атрибут данных, укажите значение append для параметра mode.

Граф расследования

Граф расследования – это инструмент визуального анализа, который показывает связь между следующими объектами:

• события;
• алерты;
• инциденты;
• наблюдаемые объекты;
• активы (устройства);
• правила сегментации.

На графе отображается подробная информация об инциденте: соответствующие алерты и их общие свойства.

Чтобы открыть граф расследования:

1. В главном окне приложения перейдите в раздел Мониторинг и отчеты → Инциденты.
2. В таблице инцидентов нажмите на идентификатор требуемого инцидента.

   Откроется окно со сведениями об инциденте.

3. Нажмите на кнопку Посмотреть на графе.

Для просмотра графа требуется право на Запись в функциональной области Алерты и инциденты.
Для просмотра на графе сведений об активе, который является объектом КИИ, пользователю необходимо назначить роль Доступ к объектам КИИ.
Дополнительную информацию см. в статье Предопределенные роли пользователей.

Вы можете использовать панорамное отображение и масштабирование в правом нижнем углу для навигации по сложному графу.

Взаимодействие с узлами графа

Вы можете использовать панель инструментов вверху, чтобы добавлять алерты и наблюдаемые объекты.

Вы можете нажать и перетащить узлы графа, чтобы переставить их.

Вы можете нажать на узел графа, чтобы открыть контекстное меню.

Общие пункты контекстного меню:

• Просмотреть информацию.

  Открывает окно свойств выбранного узла.

• Копировать.

  Копирует значение узла в буфер обмена.

• Скрыть.

  Удаляет выбранный узел из графа.

Пункты контекстного меню, специфичные для событий:

• Дерево процессов.

  Доступно только для определенных типов событий. Создает дерево процессов для события. Индикация события синим цветом указывает на то, что вы можете сгенерировать дерево процессов для этого события.

Пункты контекстного меню, специфичные для алертов:

• Изменить статус.

  Вызывает панель Изменения статуса, которая позволяет изменить статус алерта.

• Наблюдаемые объекты.

  Меню, которое позволяет добавлять общие наблюдаемые объекты в качестве узлов графа.

• Устройства.

  Меню, которое позволяет добавлять общие устройства в качестве узлов графа.

Пункты контекстного меню, специфичные для наблюдаемых объектов:

• Найти похожие события.

  Вызывает панель Поиск угроз, на которой отображаются похожие события.

• Найти похожие алерты.

  Вызывает панель Алерты, на которой отображаются похожие алерты.

• Запросить статусы Kaspersky TIP.

  Позволяет вам получать подробную информацию о выбранном наблюдаемом объекте в Kaspersky Threat Intelligence Portal (Kaspersky TIP). Подробнее см. в разделе Интеграция с Kaspersky Threat Intelligence Portal.

• Обогатить данные Kaspersky TIP.

  Используйте эту кнопку, чтобы получить подробную информацию о выбранном наблюдаемом объекте в Kaspersky TIP. Подробнее см. в разделе Интеграция с Kaspersky Threat Intelligence Portal.

Правила сегментации, специфичные для объектов:

• Просмотреть сведения в KUMA.

  Открывает Консоль KUMA в новой вкладке браузера, на которой отображаются сведения о правиле.

• Найти похожие алерты.

  Вызывает панель Алерты, на которой отображаются похожие алерты.

Если вы попытаетесь добавить алерт для другого тенанта, он не будет отображаться на графе расследования.

Вы также можете добавить наблюдаемые объекты, нажав на алерт или событие. Для этого в открывшемся контекстном меню вам нужно выбрать Наблюдаемые объекты и нажать на наблюдаемый объект. Объект будет добавлен в граф расследования. При необходимости вы можете удалить объект с графа расследования. Для этого вам нужно нажать на наблюдаемый объект и в открывшемся контекстном меню нажать на кнопку Скрыть.

Группировка элементов графа

Граф расследования автоматически группирует алерты с общими параметрами.

Чтобы разгруппировать алерт:

1. Нажмите на элемент графа, соответствующий группе алертов.

   Отобразится таблица со списком алертов.

2. Выберите алерт, который вы хотите отобразить на графе.
3. Нажмите на кнопку Показать на графе в панели инструментов таблицы.

   Алерт будет добавлен в виде узла графа.

4. Если вы хотите скрыть алерт, нажмите на кнопку Скрыть на графе.

Связывание элементов графа

Граф расследования автоматически создает ссылки для новых элементов, если это применимо. Ссылки можно добавлять вручную.

Чтобы добавить ссылку вручную:

1. Нажмите на кнопку Связать узлы.

   Вокруг узлов графа появятся точки соединения.

2. Нажмите на элемент и перетащите его от точки привязки одного узла к точке привязки другого узла.

Ссылки, созданные вручную, имеют цветовую индикацию.

Поиск угроз

Вы можете провести анализ событий для поиска угроз и уязвимостей, которые не были обнаружены автоматически. Для этого вам нужно нажать на кнопку Поиск угроз в панели инструментов вверху или открыть контекстное меню узла графа и выбрать пункт События или Найти похожие события. Откроется панель Поиск угроз. Подробнее см. в статье Поиск угроз.

Экспорт графа

При необходимости вы можете сохранить граф в формате SVG. Для этого вам нужно нажать на кнопку Экспортировать в панели инструментов вверху.

Правила сегментации

Правила сегментации позволяют автоматически разделять связанные алерты на отдельные инциденты в зависимости от заданных условий.

Вы можете использовать правила сегментации для создания отдельных инцидентов на основе связанных алертов. Например, вы можете объединить несколько алертов с важной отличительной чертой в отдельный инцидент.

Алерты могут быть связаны только с инцидентом, принадлежащим тому же тенанту.

Правила сегментации срабатывают в соответствии с указанным приоритетом. Чем выше находится правило в списке правил сегментации, тем выше его приоритет. Если вы хотите изменить приоритет правила сегментации, вам нужно перетащить правило, нажав на его имя.

Рекомендуется использовать правила сегментации вместе с правилами агрегации для определения более точных правил создания инцидентов.

Когда вы пишете выражение jq при создании правила сегментации, может появиться ошибка о недопустимом выражении, хотя выражение является корректным. Эта ошибка не блокирует создание правила сегментации. Это известная ошибка.

Чтобы создать правило сегментации:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.

   Откроется список тенантов. Список содержит только те тенанты, к которым у вас есть хотя бы право на Чтение.

2. Нажмите на тенант, для которого вы хотите создать правило сегментации.
3. На вкладке Параметры нажмите на подраздел Правила сегментации в разделе Обнаружение и реагирование.

   Откроется список правил сегментации.

4. Нажмите на кнопку Создать.

   Откроется окно Создать правило сегментации.

5. Укажите параметры сегментации правила.
   • Статус

     Включите или выключите правило.

   • Имя правила

     Укажите уникальное имя правила. Имя должно содержать от 1 до 255 символов Юникода.

   • Максимальное количество алертов в инциденте

     Максимальное количество алертов в одном инциденте. Если количество алертов превышает указанное значение, создается другой инцидент.

   • Минимальное количество алертов в инциденте

     Минимальное количество алертов в одном инциденте. Если количество алертов не достигает указанного значения, инцидент не создается.

   • Интервал поиска

     Период, из которого следует выбирать алерты и инциденты.

   • Описание

     Необязательно. Описание правила.

   • Группы

     Выражение jq, определяющее массив идентификаторов строк, по которым назначаются алерты инцидентам.

     При необходимости вы можете скопировать выражение jq для раздела Группы из другого правила сегментации. Для этого нажмите на кнопку Копировать из другого правила.

     Пример: [.Observables[] | select(.Type == "md5") | .Value ]

   • Имя инцидента (шаблон)

     Выражение jq, определяющее шаблон наименований инцидентов, созданных в соответствии с этим правилом сегментации.

     При необходимости вы можете скопировать выражение jq для раздела Имя инцидента (шаблон) из другого правила сегментации. Для этого нажмите на кнопку Копировать из другого правила.

     Пример: "Malware Detected with MD5 \(.Observables[] | select(.Type == "md5") | .Value)"

   • Триггер

     Выражение jq, определяющее условие включения алертов в инцидент.

     При необходимости вы можете скопировать выражение jq для раздела Триггер из другого правила сегментации. Для этого нажмите на кнопку Копировать из другого правила.

     Пример: any(.Rules[]?; .Name == "R077_02_KSC. Malware detected")

6. Нажмите на кнопку Сохранить.

Правило сегментации сохранится и отобразится в таблице правил. При необходимости вы можете изменить правило, нажав на его имя в таблице.

Когда алерт создан, он проверяется всеми активными правилами сегментации из таблицы в соответствие с приоритетом правил. После срабатывания первого подходящего правила формируется массив строковых идентификаторов для алерта и начинается поиск инцидента, в который будет включен алерт.

Правило сегментации срабатывает, если выражение jq, которое вы указали в триггере, возвращает true.

Невозможно связать алерт с инцидентом, созданным вручную.

Инцидент также имеет массив, который состоит из массивов алертов, связанных с этим инцидентом. Если в массиве алерта, для которого сработало правило сегментации, есть хотя бы один элемент, совпадающий с каким-либо из элементов массива инцидента, то алерт связывается с инцидентом. В результате массив этого алерта добавляется в массив инцидента.

Если есть несколько инцидентов с совпадающими элементами в массиве, алерт соединяется с инцидентом, у которого самое позднее время обновления. Если нет инцидентов с совпадающими элементами в массиве, создается инцидент.

Когда инцидент новый, его массив пустой. Такой инцидент принимает массив алерта, который к нему присоединяется.

Копирование правил сегментации в другой тенант

Вы можете скопировать существующее правило сегментации другому тенанту.

Когда создается дочерний тенант, он автоматически копирует все правила сегментации из родительского тенанта. Изменение правил сегментации в родительском тенанте не влияет на уже созданные дочерние тенанты.

Чтобы скопировать правила сегментации:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на тенант с правилом сегментации, которое вы хотите скопировать.
3. На вкладке Параметры выберите раздел Правила сегментации.
4. Выберите правила сегментации, которые вы хотите скопировать, и нажмите на кнопку Копировать в тенант.
5. Выберите один или несколько целевых тенантов и нажмите на кнопку Копировать.

   Если целевой тенант содержит правило сегментации с таким же именем, откроется окно Перезаписать или переименовать правила сегментации?. Нажмите на кнопку Перезаписать, чтобы удалить ранее созданное правило для целевого тенанта и заменить его правилом, которое вы хотите скопировать. Нажмите на кнопку Копировать и переименовать, чтобы сохранить ранее созданное правило и скопировать указанное правило с добавлением (copy) к его заголовку.

Управление типами инцидентов

Open Single Management Platform позволяет управлять инцидентами и настраивать процесс обработки инцидентов с помощью типов инцидентов.

Тип инцидента – это набор атрибутов, для которых вы можете настроить различные процессы, например, назначить рабочий процесс для типа инцидента, настроить триггер или алгоритм плейбука.

Вы можете создать тип инцидента или использовать предустановленные типы инцидентов, которые вы можете настроить.

Типы инцидентов могут быть активными или неактивными. Если тип инцидента активен, вы можете выбрать этот тип в окне с подробной информацией об инциденте.

Тип инцидента, отмеченный как тип по умолчанию, автоматически назначается всем новым инцидентам. Вы не можете переключить тип инцидента по умолчанию в неактивный.

Тип инцидента Общий установлен как значение по умолчанию. Вы можете изменить этот параметр.

В тенанте вы можете создать только один тип инцидента по умолчанию.

Просмотр таблицы типов инцидентов

Чтобы просмотреть таблицу типов инцидентов:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры нажмите на Управление инцидентами.

   Отобразится вкладка Типы с таблицей типов инцидентов.

4. Если вы хотите настроить таблицу типов инцидентов, выполните любое из следующих действий:
   • Нажмите на значок фильтрации (), укажите и примените критерий фильтрации в открывшемся меню.
   • Чтобы скрыть или отобразить столбец, нажмите на значок параметров () и выберите нужный столбец.

В таблице типов инцидентов содержится следующая информация:

• Имя. Название пользовательских или предустановленных типов инцидентов.

  В таблице содержатся следующие предустановленные типы инцидентов:

  • Общие.

    По умолчанию этот тип имеет значение Да в столбце По умолчанию.

  • Получение информации.
  • Компрометация.
  • Несанкционированный доступ.
  • Атака вредоносного ПО.
  • Фишинг.
  • Доступность.
  • Угроза изнутри.
  • Нарушение безопасности данных.
  • Ошибка конфигурации.
  • Атака через цепочку поставок.
  • Атака веб-приложения.
  • Использование уязвимостей.
• Активный тип. Если тип инцидента активен, вы можете выбрать этот тип в окне с подробной информацией об инциденте.
• По умолчанию. При создании инцидента, ему автоматически присваивается тип по умолчанию. Возможные значения:
  • True.
  • False.
• Рабочий процесс. Рабочий процесс инцидента.
• Тенант. Имя тенанта, которому принадлежит тип инцидента.
• Тип создания. Способ создания типа инцидента. Возможные значения:
  • Пользовательский
  • Предопределенный
• Идентификатор. Уникальный идентификатор пользовательского или предустановленного типа инцидента. По умолчанию этот столбец скрыт.
• Описание. Описание типа инцидента. По умолчанию этот столбец скрыт.

При необходимости, вы можете создавать новые типы инцидентов, а также изменять и удалять предустановленные и пользовательские типы инцидентов.

Создание типов инцидентов

Чтобы создать тип инцидента:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры, нажмите на Управление инцидентами и выберите вкладку Типы.
4. Нажмите на кнопку Создать.

   Откроется окно Создать тип инцидента.

5. Если вы хотите, чтобы новый тип инцидента был активным, включите переключатель Активный тип.
6. В поле Имя введите название нового типа инцидента.
7. Если вы хотите, чтобы всем новым инцидентам по умолчанию назначался этот тип, установите флажок Сделать по умолчанию.

   В тенанте может быть только один инцидент по умолчанию. Это означает, что, если у тенанта уже есть тип инцидента по умолчанию, этот тип больше не будет типом по умолчанию после того, как вы установите этот флажок.

8. В поле Рабочий процесс выберите рабочий процесс инцидента.
9. При необходимости в поле Описание укажите описание типа инцидента или комментарий.
10. Нажмите на кнопку Создать.

Новый тип инцидента отобразится в таблице типов инцидентов.

Изменение типов инцидентов

При необходимости вы можете изменять типы инцидентов.

Чтобы изменить тип инцидента:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры нажмите на Управление инцидентами.

   Отобразится вкладка Типы с таблицей типов инцидентов.

4. Нажмите на имя типа инцидента, который требуется изменить.

   Откроется окно Изменить тип инцидента.

5. Внесите изменения и нажмите на кнопку Сохранить. Дополнительные сведения о свойствах типов инцидентов, которые вы можете изменить, см. в разделе Создание типов инцидентов.

Свойства типа инцидента изменены и сохранены.

Удаление типов инцидентов

Если вы хотите удалить тип инцидента, который используется в плейбуке, вам нужно удалить этот тип инцидента из триггера плейбука и/или алгоритма, чтобы избежать ошибок.

Удалить тип инцидента невозможно в следующих случаях:

• Тип инцидента установлен по умолчанию в тенанте, где был создан этот тип инцидента.

  При попытке удалить этот тип инцидента, вам будет предложено установить новый тип инцидента по умолчанию. В открывшемся окне вам нужно выбрать тип инцидента из списка.

• Тип инцидента установлен по умолчанию в дочернем тенанте.
• Текущий тенант или дочерний тенант содержит инцидент с типом, который вы хотите удалить.

  Прежде чем удалить такой тип, вам нужно назначить инциденту другой тип.

Чтобы удалить тип инцидента:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры нажмите на Управление инцидентами.

   Отобразится вкладка Типы с таблицей типов инцидентов.

4. Выполните одно из следующих действий:
   • Выберите тип инцидента, который вы хотите удалить и нажмите на кнопку Удалить.
   • Нажмите на название типа инцидента, который вы хотите удалить, затем в окне Изменить тип инцидента нажмите на кнопку Удалить.
5. В диалоговом окне нажмите на кнопку Удалить.

Тип инцидента будет удален.

Управление типами рабочих процессов

Open Single Management Platform позволяет настраивать гибкий рабочий процесс инцидента. Open Single Management Platform также отображает рабочий процесс в визуальном редакторе.

Процесс обработки инцидента представляет собой набор статусов и переходов, через которые проходит инцидент в течение его жизненного цикла. Статус является шагом в процессе обработки инцидента. Переход помогает инциденту переходить в различные статусы. Переход – это ссылка, которая позволяет настраивать переходы от одного статуса инцидента к другому и обратно. При необходимости, вы можете использовать переход как однонаправленную ссылку.

Вы можете создать рабочий процесс инцидента или использовать предустановленный рабочий процесс, который можно настроить.

Также можно назначить рабочий процесс типам инцидентов. Это поможет вам управлять жизненным циклом инцидента наиболее удобным образом.

Просмотр таблицы рабочих процессов инцидентов

Чтобы просмотреть таблицу рабочих процессов инцидентов:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры, нажмите на Управление инцидентами и выберите вкладку Рабочие процессы.

Отобразится таблица рабочих процессов инцидентов.

Чтобы настроить таблицу рабочих процессов инцидентов, выполните одно из следующих действий:

• Нажмите на значок фильтрации (), укажите критерий фильтрации и примените его в открывшемся меню.
• Чтобы скрыть или отобразить столбец, нажмите на значок параметров () и выберите нужный столбец.

Таблица рабочих процессов инцидентов настроена, и в таблице отображаются нужные вам данные.

В таблице рабочих процессов инцидентов содержится следующая информация:

• Имя. Название пользовательских или предустановленных рабочих процессов инцидентов.
• Связанные типы. Количество связанных типов инцидентов.
• Имя тенанта. Имя тенанта, которому принадлежит рабочий процесс инцидента.
• Тип создания. Способ создания рабочего процесса инцидента. Возможные значения:
  • Пользовательский.
  • Предопределенный.
• Идентификатор рабочего процесса. Уникальный идентификатор рабочего процесса инцидента. По умолчанию этот столбец скрыт.
• Описание. Описание рабочего процесса инцидента. По умолчанию, этот столбец скрыт.

Предустановленные рабочие процессы инцидентов

Open Single Management Platform позволяет управлять инцидентами с помощью предустановленного рабочего процесса инцидента. В таблице рабочих процессов инцидентов, такой рабочий процесс называется Стандартный. В столбце Тип создания эти рабочие процессы отмечены как Предопределенный.

При необходимости, вы можете изменить предустановленный рабочий процесс.

В таблице ниже описаны статусы предустановленного рабочего процесса и причины, по которым инцидентам присваиваются эти статусы.

Рабочий процесс по ГОСТ

Open Single Management Platform предоставляет возможность использовать для управления инцидентами рабочий процесс, созданный на основании ГОСТ Р 59712-2022. По умолчанию, в таблице рабочих процессов он имеет название ГОСТ и является предустановленным.

При необходимости вы можете изменить рабочий процесс ГОСТ под свои нужды.

Рабочий процесс ГОСТ состоит из следующих статусов:

• Новый. Создание инцидента (ручное или автоматическое).
• Анализ. Изучение негативного воздействия на элементы информационной инфраструктуры.
• Локализация. Определение элементов информационной инфраструктуры, которые подверглись негативному воздействию.
• Последствия. Определение последствий негативного воздействия на элементы информационной инфраструктуры.
• Ликвидация. Ликвидация причины, а также последствий негативного воздействия на элементы информационной инфраструктуры.
• Выполнен. Последствия негативного воздействия устранены, причины выявлены.
• Закрыт. Проверка достаточности выполненных действий по ликвидация причин и последствий негативного воздействия на элементы информационной инфраструктуры.

Создание рабочих процессов инцидентов

Рабочий процесс инцидента позволяет управлять жизненным циклом инцидента.

Чтобы создать рабочий процесс инцидента:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры, нажмите на Управление инцидентами и выберите вкладку Рабочие процессы.
4. Нажмите на кнопку Создать.

   Откроется окно Создать рабочий процесс.

   По умолчанию каждый рабочий процесс инцидента содержит предустановленные статусы Начальный и Завершен. Вы не можете удалить или изменить эти статусы.

5. В поле Имя введите название нового рабочего процесса.
6. При необходимости в поле Описание введите описание рабочего процесса или комментарий.
7. Чтобы добавить новые статусы, в разделе Рабочий процесс нажмите Добавить статус.
8. В открывшемся окне настройте следующие параметры:
   1. В поле Название статуса введите название нового статуса.
   2. В поле Категория выберите одну из следующих категорий статуса:
      • Начальный
      • В обработке
      • Решен
      • Завершен

      Категория определяет цвет иконки статуса.

   3. В поле Входящий переход выберите один или несколько входящих статусов.

      Если вы хотите настроить переход от всех статусов к входящим статусам, выберите параметр Разрешить всем статусам переходить на этот.

   4. В поле Исходящий переход, выберите один или несколько исходящих статусов.

      Если вы хотите настроить переход от исходящих статусов ко всем статусам, выберите параметр Разрешить этому статусу переходить на все статусы

   5. Нажмите на кнопку Добавить.

      Визуализированный рабочий процесс отображается в окне Создать рабочий процесс

      При необходимости повторите шаги 7 и 8, чтобы добавить новые статусы.

9. В окне Создать рабочий процесс нажмите на кнопку Сохранить.

Новый рабочий процесс инцидента отобразится в таблице.

Изменение рабочих процессов и статусов инцидентов

Вы можете изменить свойства рабочего процесса, а также статусы и переходы рабочего процесса.

Чтобы изменить рабочий процесс инцидента:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры, нажмите на Управление инцидентами и выберите вкладку Рабочие процессы.
4. Выберите рабочий процесс, который требуется изменить.

   Откроется окно Изменить рабочий процесс.

5. Измените свойства рабочего процесса. Дополнительные сведения о свойствах рабочего процесса, которые вы можете изменить, см. в разделе Создание рабочего процесса инцидентов.

Свойства рабочего процесса изменены и сохранены.

Чтобы изменить статусы рабочего процесса инцидента:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры, нажмите на Управление инцидентами и выберите вкладку Рабочие процессы.
4. Выберите рабочий процесс, который требуется изменить.

   Откроется окно Изменить рабочий процесс.

5. Нажмите на название статуса, который требуется изменить.

   Откроется окно Изменить статус.

6. Измените параметры статуса и параметры перехода. Дополнительные сведения о параметрах статуса, которые вы можете изменить, см. в разделе Создание рабочего процесса инцидентов.

   При необходимости, вы можете удалить статус, нажав на кнопку Удалить.

   Вы не можете изменить название и категорию следующих предустановленных статусов: Начальный и Завершен. Вы также не можете удалить эти предустановленные статусы.

   Вы не можете удалить статус, если он назначен инциденту.

7. Нажмите на кнопку Сохранить.

Статусы рабочего процесса изменены и сохранены.

Удаление рабочих процессов инцидентов

Вы не можете удалить рабочий процесс инцидента, если есть связанные типы инцидентов, которые принадлежат родительскому или дочернему тенанту. В этом случае вам нужно назначить другой рабочий процесс связанным типам инцидентов, а затем попробовать снова удалить рабочий процесс инцидента.

Если вы хотите удалить рабочий процесс, который используется в плейбуке, перед удалением измените триггер и/или алгоритм плейбука, чтобы избежать ошибок.

Чтобы удалить рабочий процесс инцидента:

1. В главном окне приложения перейдите в раздел Параметры → Тенанты.
2. Нажмите на имя нужного тенанта.

   Откроется окно свойств тенанта.

3. На вкладке Параметры, нажмите на Управление инцидентами и выберите вкладку Рабочие процессы.
4. В списке рабочих процессов выберите рабочий процесс, который вы хотите удалить, и нажмите на кнопку Удалить.
5. В диалоговом окне нажмите на кнопку Удалить.

Рабочий процесс инцидента удален.