Kaspersky Symphony XDR: Open Single Management Platform
1.2

Содержание

Работа с алертами на графе расследования

На графе расследования вы можете выполнять следующие действия с алертами:

  • Добавлять алерт на граф.
  • Скрывать алерт с графа.
  • Просматривать детали алерта, выбрав соответствующий элемент из контекстного меню узла алерта.
  • Изменять статус алерта.
  • Просматривать события, связанные с алертом.
  • Просматривать активы, связанные с алертом.
  • Просматривать наблюдаемые объекты, связанные с алертом.

Добавление алертов на граф расследования

Вы можете добавить алерт на граф расследования одним из следующих способов:

  • Из общей таблицы алертов, которая открывается при нажатии на кнопку Добавить алерт на графе расследования. Вам нужно установить флажки рядом с алертами, которые вы хотите отобразить на графе расследования, и нажать на кнопку Показать на графе.
  • Из таблицы похожих алертов.

Чтобы добавить алерты на граф расследования из таблицы похожих алертов:

  1. Выполните одно из следующих действий:
    • Если на графе расследования у вас есть актив, наблюдаемый объект или правило сегментации, нажмите на его узел, а затем в контекстном меню выберите пункт Найти похожие алерты.
    • Если на графе расследования у вас есть событие, нажмите на его узел, а затем в контекстном меню выберите пункт Просмотреть информацию. В открывшемся окне нажмите на кнопку Показать на графе.
    • Если на графе расследования у вас есть алерт, нажмите на его узел и в контекстном меню выберите пункт События. В таблице событий нажмите на событие, детали которого вы хотите открыть. Если детали события содержат наблюдаемый объект, актив или правило сегментации, нажмите на ссылку в соответствующем поле, а затем в контекстном меню выберите пункт Найти похожие алерты.
    • На графе расследования нажмите на кнопку Поиск угроз, а затем в общей таблице событий нажмите на событие, детали которого вы хотите открыть. Если детали события содержат наблюдаемый объект, актив или правило сегментации, нажмите на ссылку в соответствующем поле, а затем в контекстном меню выберите пункт Найти похожие алерты.

    Отобразится таблица похожих алертов.

  2. Установите флажки рядом с алертами, которые вы хотите отобразить на графе расследования, и нажмите на кнопку Показать на графе.

Выбранные алерты будут добавлены на граф расследования.

Скрытие алертов на графе расследования

Вы можете скрыть алерты на графе расследования одним из следующих способов:

Чтобы скрыть алерты на графе с помощью таблицы алертов:

  1. Выполните одно из следующих действий:
    • В панели инструментов в верхней части графа расследования нажмите на кнопку Добавить алерт.
    • Если на графе отображаются узлы наблюдаемых объектов, активов или событий, нажмите на узел, для которого вы хотите добавить алерт, а затем в контекстном меню выберите пункт Найти похожие алерты.

    Отобразится таблица алертов.

  2. Установите флажки рядом с алертами, которые вы хотите скрыть на графе расследования, и нажмите на кнопку Показать на графе.

Выбранные алерты и их ссылки будут скрыты на графе расследования. Связанные узлы останутся на графе расследования.

Изменение статуса алерта

Чтобы изменить статус алерта:

  1. Нажмите на узел алерта и в контекстном меню выберите пункт Изменить статус.
  2. В открывшейся панели Смена статуса, выберите статус и нажмите на кнопку Сохранить.

    Если вы выбрали статус Закрыт, вам нужно выбрать решение.

Статусы выбранных алертов будут изменены.

Просмотр событий, связанных с алертом

Чтобы просмотреть события, связанные с алертом, выполните одно из следующих действий:

  • Нажмите на цифру рядом с узлом алерта, события которого вы хотите отобразить. Цифра показывает количество событий, связанных с алертом.
  • Нажмите на узел алерта, события которого вы хотите отобразить, и в контекстном меню выберите пункт События.

Если вы хотите добавить события из таблицы на граф расследования, установите флажки рядом с событиями и нажмите на кнопку Показать на графе.

Если вы хотите скрыть события на графе расследования, установите флажки рядом с событиями и нажмите на кнопку Скрыть на графе.

Просмотр активов, связанных с алертом

Чтобы просмотреть активы, связанные с алертом, нажмите на узел алерта.

В контекстном меню цифры рядом с элементами Устройства и Пользователи показывают количество устройств и пользователей, связанных с алертом.

Если вы хотите добавить устройства или пользователей на граф расследования, выберите соответствующий пункт меню.

Просмотр наблюдаемых объектов, связанных с алертом

Чтобы просмотреть наблюдаемые объекты, связанные с алертом, нажмите на узел алерта и в контекстном меню выберите пункт События.

В открывшемся меню цифры рядом с элементами показывают количество наблюдаемых объектов, связанных с алертом.

Если вы хотите добавить наблюдаемый объект (например, Хеш, Домен, IP-адрес) на граф расследования, выберите соответствующий пункт меню.

В начало
[Topic 292792]