Работа с консолью инцидентов

Консоль инцидентов предназначена для управления инцидентами – их создания, хранения, обработки, отображения минимальной статистики по инцидентам.

Концепция работы с консолью инцидентов предполагает, что руководящий офицер безопасности должен определить, что считается инцидентом, разработать и создать политики (фильтры), определяющие такие события, а также разработать порядок (схемы) реагирования на инциденты, называемые в терминологии StaffCop шаблонами реагирования на инциденты.

Нужно выделить основные группы инцидентов и создать описания групп инцидентов в консоли, а также определить, какой пользователь системы (из числа подчинённых офицеру безопасности сотрудников) за какую группу инцидентов будет отвечать, чтобы можно было назначать расследования инцидентов конкретным сотрудникам.

Вход в консоль инцидентов и просмотр списка инцидентов

Вход в консоль инцидентов выполняется из меню «Админ» веб-интерфейса:

../_images/incident_console_1.png

После выбора пункта меню «Инциденты» в отдельной вкладке браузера откроется консоль управления инцидентами:

../_images/incident_console_2.png

Для каждого созданного инцидента в таблице отображается информация об инциденте.

Если инцидентов много, можно отобразить только выбранные - для этого предназначена кнопка «Фильтр» в верхнем правом углу экрана.

После её нажатия можно построить фильтр по одному или нескольким условиям, что позволяет отобразить только те инциденты, которые нужно видеть в настоящий момент.

Фильтр представляет собой последовательность полей описания инцидента, по которым можно задавать значения для фильтрации.

Поля и операции для полей выбираются нажатием символа «стрелка вниз» около поля ввода:

../_images/incident_console_3.png

После создания фильтра и нажатия кнопки «Сохранить» в таблице инцидентов будут отображены только те инциденты, которые соответствуют заданному фильтру.

Создание инцидента

Инцидент может быть создан тремя способами:
  • вручную, из консоли инцидентов;

  • автоматически, в результате срабатывания политики или фильтра.

  • добавить событие вручную из линзы событий в режиме таблицы.

Для создания инцидента вручную нужно нажать кнопку в правом верхнем углу консоли инцидента «Создать инцидент». Откроется окно создания нового инцидента:

../_images/incident_console_4.png

Назначение полей интуитивно понятно из их описаний на форме. Нужно заполнить все поля формы и нажать кнопку «Сохранить» (синего цвета на скриншоте)). Инцидент будет создан.

Второй способ создания инцидента – автоматический, в результате срабатывания заранее настроенных соответствующим образом политики или фильтра.

Для того чтобы инцидент создавался автоматически, нужно включить уведомления в описании созданной администратором системы политики или фильтра.

К сожалению, стандартную (предопределённую) политику отредактировать таким образом не получится, нужно обязательно создавать новую политику или пользовательский фильтр.

Настройки для создания инцидента в автоматическом режиме производится на вкладке «Уведомление» конфигуратора политики или фильтра.

Нужно взвести флажок «Активировать уведомление», после чего будет предоставлен доступ к настройкам создания инцидента:

../_images/incident_console_5.png ../_images/incident_console_6.png

После того, как будет взведён флажок «Создать инцидент», можно будет задать параметры создания инцидента – шаблон реагирования, группу инцидента и кому будет отправлена информация для реакции.

Сразу же после срабатывания политики или фильтра информация будет автоматически передана в консоль инцидентов и создан инцидент.

Третий способ может быть реализован следующим образом.

../_images/incident1.png ../_images/incident_console_3.png

Работа с инцидентами

При клике на консоли инцидентов открывается панель подробностей инцидента.

Она содержит всю информацию об инциденте, в частности, журнал действий с инцидентом, и позволяет редактировать содержимое инцидента (для этого служат кнопки «Редактировать инцидент» в правом верхнем углу панели) и «Редактировать» (в правом нижнем углу панели).

../_images/incident_console_7.png

После нажатия одной этих кнопок режим просмотра переключается на режим редактирования, и можно изменить информацию об инциденте.

../_images/incident_console_8.png

Назначение кнопок, расположенных справа внизу на панели в режиме редактирования, интуитивно понятно и не требует пояснений.

Настройка консоли инцидентов

Настройка консоли инцидентов выполняется из самой консоли инцидентов. Возможно настроить следующие параметры консоли инцидентов:
  • статусы инцидентов;

  • группы инцидентов;

  • шаблоны реагирования на инциденты.

Перейти к настройке соответствующих параметров можно, перейдя по соответствующему пункту меню в левой части консоли инцидентов.

../_images/incident_console_9.png

Список «Статусы» содержит статусы инцидентов.

По умолчанию статусов инцидентов всего два: «New» (новый – этот статус имеет любой инцидент сразу после его создания, и «Closed» (закрытый – этот статус присваивается инциденту администратором безопасности тогда, когда инцидент уже расследован, и необходимости в дальнейшей работе с ним нет).

Администратор безопасности может создать любое количество статусов инцидентов, для этого надо в списке инцидентов нажать кнопку «Новый статус» в правом верхнем углу списка:

../_images/incident_console_10.png

В окне веб-интерфейса откроется панель создания статуса.

Все значения полей описания статуса интуитивно понятны и не требуют комментариев. Сохранить новый статус можно, нажав одну из кнопок «Сохранить» (либо в верхнем правом углу, либо в нижнем правом углу панели).

../_images/incident_console_11.png

Можно определить несколько статусов, завершающих обработку инцидента.

Выделение цветом предназначено для обеспечения наглядности списка статусов инцидентов.

Ведение списков групп инцидентов и шаблонов реагирования на инциденты ничем не отличается от ведения списка статусов инцидентов, кроме отсутствия выделения цветом. Свойство группы инцидентов – один из администраторов системы, который отвечает за эту группу инцидентов, свойство шаблона реагирования – описание действий, которые необходимо выполнить для того, чтобы решить инцидент.

Отчёты по инцидентам

Отчёты по инцидентам позволяют получать сводную информацию по инцидентам.

«Из коробки» есть три предопределённых отчёта – «Отчёт по инцидентам», «Отчёт по решённым инцидентам» и «Отчёт по инцидентам детально».

Формат каждого отчёта (порядок и количество полей) может быть изменён средствами редактирования отчёта.

Для этого нужно зайти в соответствующий отчёт (т.е. сформировать его), и появится панель редактирования отчёта:

../_images/incident_console_12.png
Имеются следующие возможности по выгрузке, отображению и редактированию отчёта (слева направо):
  • добавление отчёта в список отчётов (создание копии отчёта);

  • экспорт результатов формирования отчёта (печать, форматы HTML и MS Excel;

  • редактирование описания отчёта в текстовом формате;

  • изменение форматирования ячеек отчёта и установка форматирования «по умолчанию»);

  • изменение параметров схемы построения отчёта (показывать/не показывать итоги и под-итоги, вид формы отчёта);

  • изменение списка полей (столбцов), включаемых в отчёт, возможность добавления вычисляемых полей;

  • отображение отчёта «на весь экран» (без группы меню слева и служебных панелей браузера).

Удаление отчёта реализовано через редактирование его в текстовом формате. Удалить стандартные отчёты (три отчёта, которые есть в консоли инцидентов «из коробки») нельзя.

В правом верхнем углу находится кнопка «Фильтр». Настройка фильтра аналогична настройке фильтра для просмотра инцидентов. Если фильтр включён, то в отчёт попадут только те данные, которые соответствуют установленному фильтру.

Пример настройки автоматического создания инцидентов

Настроим систему для автоматического создания инцидентов при отсутствии событий с определённых рабочих станций.

Прежде всего нужно выполнить настройку стандартной политики, которая называется «Отсутствие событий». Она находится в панели «Фильтры», в папках «Политики» и «Детекторы». В её свойствах нужно указать время, в течение которого неполучение событий с рабочих станций становится инцидентом, а в фильтре в измерении «Агент» - выбрать те рабочие станции, неполучение событий с которых будет считаться инцидентом. После чего эту политику надо включить для новых событий (по умолчанию эта политика выключена).

Затем нужно создать новую (пользовательскую) политику, у которой установить в свойствах категорию «Инцидент», «Политика активна» и «Применять только к новым событиям». В панели «Уведомления» нужно не только настроить уведомления, но и включить флажок «Создать инцидент», а также выбрать подходящие для сработавшей политики группу инцидентов и шаблон реагирования (они должны быть подготовлены заранее).

В фильтре данной политики нужно установить значение «Сработавшие фильтры», где указать срабатывание настроенного нами ранее детектора «Отсутствие событий».

../_images/incident_console_13.png

После сохранения пользовательской политики перерыв в получении событий с указанных агентов будет считаться инцидентом, и информация об этом будет автоматически попадать в список в консоли инцидентов.

Вернуться в руководство пользователя