Консоль управления инцидентами

Консоль инцидентов предназначена для создания, хранения, обработки и отображения минимальной статистики по инцидентам.

Работа с консолью инцидентов предполагает, что руководящий офицер безопасности определяет, что считается инцидентом, создаёт политики (фильтры), определяющие такие события, и создаёт шаблоны реагирования на инциденты.

В консоли можно:

  • выделить основные группы инцидентов;

  • создать описания групп инцидентов;

  • определить, какой пользователь системы за какую группу инцидентов будет отвечать (назначить ответственного за расследование инцидента).

Вход в консоль инцидентов и просмотр списка

Чтобы войти в консоль инцидентов, в меню Администрирование выберите раздел Инциденты.

../_images/console_1.png

Консоль управления инцидентами откроется в новой вкладке браузера.

../_images/console_2.png

Чтобы настроить отображение инцидентов, нажмите кнопку «Фильтр». Фильтр - последовательность полей описания инцидента, по которым можно настроить фильтрацию.

В открывшемся окне можно будет настроить фильтрацию по одному или нескольким параметрам.

../_images/console_3.png

После создания фильтра и нажатия кнопки «Сохранить» в таблице инцидентов будут отображены только те инциденты, которые соответствуют заданному фильтру.

Создание инцидента

Инцидент может быть создан:

  • вручную, из консоли инцидентов;

  • автоматически, в результате срабатывания политики или фильтра;

  • добавлен из линзы событий в режиме таблицы.

Создание инцидента из консоли

Чтобы создать инцидент из консоли, нажмите кнопку «Создать инцидент». В открывшемся окне заполните все поля и нажмите «Сохранить».

../_images/incident_console_4.png

Автоматическое создание инцидента

Примечание

Отредактировать стандартную политику таким образом, чтобы с её помощью создавался инцидент, нельзя. Нужно создать новую политику или пользовательский фильтр.

Инцидент может быть создан в результате срабатывания заранее настроенных политики или фильтра. Для этого включите уведомления в описании созданной политики или фильтра.

Чтобы настроить создание инцидента, при создании Фильтра или Политики, на вкладке «Уведомление» включите опцию «Активировать уведомление» и затем - «Создать инцидент».

../_images/incident_console_5.png ../_images/incident_console_6.png

После этого можно будет задать параметры создания инцидента: шаблон реагирования, группу инцидента и адресата, кому будет отправлена информация об инциденте.

После срабатывания политики или фильтра, в консоли будет создан соответствующий инцидент.

Добавление инцидента из линзы событий

В линзе событий выберите интересующее событие и в контекстном меню выберите пункт «Добавить событие в инцидент».

../_images/incident1.png

После этого, найстройте параметры инцидента в конструкторе.

../_images/incident_console_3.png

Работа с инцидентами

При выборе инцидента, в консоли открывается панель с детальной информацией об инциденте. В этом же окне можно просмотреть скриншот, привязанный к инциденту.

../_images/incident_console_7.png

При помощи кнопок «Редактировать инцидент» или «Редактировать» можно изменять информацию об инциденте. В том числе - добавлять комментарии с пояснениями.

../_images/incident_console_8.png

Настройка консоли инцидентов

В консоли инцидентов можно настроить:

  • статусы инцидентов;

  • группы инцидентов;

  • шаблоны реагирования.

Чтобы перейти к настройке параметров, выберите интересующий в левой части консоли инцидентов.

../_images/incident_console_9.png

Список «Статусы» содержит статусы инцидентов.

По умолчанию статусов инцидентов два:

  • New – этот статус имеет любой инцидент сразу после его создания;

  • Closed присваивается инциденту администратором безопасности после завершения расследования.

Чтобы создать новый статус инцидента, нажмите кнопку «Новый статус» в правом верхнем углу списка:

../_images/incident_console_10.png

В окне веб-интерфейса откроется панель создания статуса. Заполните необходимые поля и нажмите одну из кнопок «Сохранить» (в верхнем правом углу, либо в нижнем правом углу панели). Здесь же можно определить несколько статусов, завершающих обработку инцидента и установить выделение инцидентов цветом для наглядности.

../_images/incident_console_11.png

Администратор безопасности может создать любое количество статусов инцидентов.

Создание новых групп инцидентов и шаблонов реагирования не отличается от создания новых статусов. При создании группы инцидентов выберите администратора системы, который будет отвечать за эту группу инцидентов. При создании шаблона реагирования опищите действия, которые необходимо выполнить, чтобы решить инцидент.

Отчёты по инцидентам

Позволяют получить сводную информацию по инцидентам.

«Из коробки» есть три предопределённых отчёта:

  • Отчёт по инцидентам;

  • Отчёт по решённым инцидентам;

  • Отчёт по инцидентам детально.

Формат каждого отчёта может быть изменён средствами редактирования отчёта. Для этого зайдите в соответствующий отчёт (сформируйте его), и воспользуйтесь панелью редактирования:

../_images/incident_console_12.png

При выгрузке отчёта можно:

  • добавить отчёт в список отчётов (создать копию отчёта);

  • экспортировать результаты формирования отчёта (печать, форматы HTML и MS Excel);

  • редактировать описание отчёта в текстовом формате;

  • изменить форматирование ячеек отчёта и установить форматирование «по умолчанию»;

  • изменить параметры схемы построения отчёта (показывать/не показывать итоги и подитоги, вид формы отчёта);

  • изменить список полей (столбцов), включаемых в отчёт, возможность добавления вычисляемых полей;

  • отображать отчёт «на весь экран» (без группы меню слева и служебных панелей браузера).

Удаление отчёта реализовано через редактирование его в текстовом формате. Удалить стандартные отчёты нельзя.

В правом верхнем углу находится кнопка «Фильтр». Настройка фильтра аналогична настройке фильтра для просмотра инцидентов. Если фильтр включён, то в отчёт попадут только те данные, которые соответствуют установленному фильтру.

Пример настройки автоматического создания инцидентов

  1. Настройте стандартную политику «Отсутствие событий»:

1.1 На панели «Фильтры», в папках «Политики» и «Детекторы» найдите политику «Отсутствие событий».

1.2 В свойствах политики укажите время, в течение которого отсутствие данных от агентов становится инцидентом.

1.3 В фильтре в измерении «Агент» выберите те рабочие станции, неполучение событий с которых будет считаться инцидентом.

1.4 Включите эту политику для новых событий - по умолчанию она выключена.

  1. Создайте и настройте новую политику:

2.1 Установите в свойствах категорию «Инцидент», «Политика активна» и «Применять только к новым событиям».

2.2 В панели «Уведомления» настройте уведомления и включите опцию «Создать инцидент».

2.3 Выберите подходящие для сработавшей политики группу инцидентов и шаблон реагирования (подготовьте их заранее).

2.4 В фильтре данной политики установите значение «Сработавшие фильтры», в котором укажите срабатывание настроенного ранее детектора «Отсутствие событий».

../_images/incident_console_13.png

После сохранения пользовательской политики перерыв в получении событий с указанных агентов будет считаться инцидентом, и информация об этом будет автоматически попадать в список в консоли инцидентов.

Вернуться в руководство пользователя