Работа с инцидентами

• Новый инцидент

  • Создание инцидента из консоли

  • Автоматическое создание инцидента

  • Добавление инцидента из основного интерфейса

• Операции с инцидентами

  • Редактирование

  • Удаление

Новый инцидент

Создать инцидент можно:

• вручную из консоли инцидентов;

• автоматически в результате срабатывания политики или фильтра;

• вручную из основного интерфейса.

Создание инцидента из консоли

Чтобы создать инцидент из консоли, нажмите кнопку + Создать инцидент в верхнем правом углу. В открывшемся окне заполните все поля и нажмите Сохранить.

Автоматическое создание инцидента

Инцидент может быть создан в результате срабатывания политики.

Чтобы добавить в политику инцидент:

1. В основном интерфейсе во вкладке Политика внизу страницы откройте политику или создайте новую.

2. На вкладке Свойства задайте категорию Инцидент.

3. Включите опцию Политика активна.

4. На вкладке Уведомления активируйте уведомления.

5. Укажите параметры реагирования на событие: шаблон реагирования и группу инцидентов.

6. Сохраните политику.

Добавление инцидента из основного интерфейса

Чтобы добавить инцидент в Линзе событий:

1. Найдите интересующее событие.

2. Кликните на иконку ключа и в контекстном меню выберите пункт Добавить событие в инцидент.

3. Выберите инцидент или создайте новый в открывшемся окне. После этого откроется страница инцидента, на которой вы увидите добавленное событие:

• При необходимости отредактируйте инцидент: измените статус, добавьте комментарии, участников и другие атрибуты.

Операции с инцидентами

При клике на инцидент открывается страница редактирования инцидента.

Чтобы открыть окно в новой вкладке, подведите курсор к последней колонке инцидента и нажмите на появившуюся стрелку:

Редактирование

В окне редактирования инцидента вы можете изменять атрибуты инцидента:

• группу;

• шаблон реагирования;

• статус;

• участников;

• события;

• приоритет;

• ответственного;

• дату создания.

Чтобы изменить атрибут:

1. Кликните на поле атрибута.

2. Введите новые значения:

Кроме этого, у вас есть возможность:

• прикладывать файлы и оставлять комментарии;

• просматривать приложенные к инциденту скриншоты;

• посмотреть сработавшую политику и связанные с ней события за последние 12 часов:

• посмотреть группу событий в диапазоне +- 5 минут от события с помощью опции Для просмотра обнаруженых событий перейдите по ссылке:

• посмотреть историю изменений ответственных за индицент, атрибутов и статуса инцидента.

Удаление

При удалении инцидент перемещается в архив.

Внимание

Восстановить инцидент из архива нельзя. Вы сможете просматривать инцидент, но не сможете изменить. Поэтому перед удалением убедитесь, что это действительно необходимо.

Чтобы удалить инцидент:

1. Выберите в боковом меню Инциденты.

2. Поставьте флажок напротив инцидентов, которые вы хотите удалить.

3. В правом верхнем меню выберите Действия → Удалить инциденты и подтвердите удаление.

Удалить инциденты из архива можно с помощью команд.