Работа с инцидентами

• Новый инцидент

  • Создание инцидента из консоли

  • Автоматическое создание инцидента

  • Добавление инцидента из основного интерфейса

• Операции с инцидентами

  • Редактирование

  • Удаление

Новый инцидент

Создать инцидент можно:

• вручную из консоли инцидентов;

• автоматически в результате срабатывания политики или фильтра;

• вручную из основного интерфейса.

Создание инцидента из консоли

Чтобы создать инцидент из консоли, нажмите кнопку + Создать инцидент в верхнем правом углу. В открывшемся окне заполните все поля и нажмите Сохранить.

Автоматическое создание инцидента

Инцидент может быть создан в результате срабатывания политики.

Чтобы добавить в политику инцидент:

1. В основном интерфейсе во вкладке Политика перейдите в папку Политики.

2. Выберите политику или создайте новую.

3. В окне политики во вкладке Свойства в поле Категория выберите Инцидент.

4. Включите опцию Политика активна.

5. Во вкладке Уведомления активируйте уведомления.

6. Укажите параметры реагирования на событие: шаблон реагирования и группу инцидентов.

7. Сохраните политику.

Добавление инцидента из основного интерфейса

Чтобы добавить инцидент или дополнить событием уже созданный:

1. В Линзе событий найдите событие.

2. Кликните на иконку ключа и в контекстном меню выберите пункт Добавить событие в инцидент.

3. Выберите инцидент или создайте новый в открывшемся окне. После этого откроется страница инцидента, на которой вы увидите добавленное событие:

• При необходимости отредактируйте инцидент: измените статус, добавьте комментарии, участников, шаблон, группу и другие атрибуты.

Операции с инцидентами

При клике на инцидент открывается страница редактирования инцидента.

Чтобы открыть окно в новой вкладке, подведите курсор к последней колонке инцидента и нажмите на появившуюся стрелку:

Редактирование

В окне редактирования инцидента вы можете изменять атрибуты инцидента:

• группу,

• шаблон реагирования,

• статус,

• участников,

• события,

• приоритет,

• ответственного,

• дату создания.

Чтобы изменить атрибут:

1. Кликните на поле атрибута.

2. Введите новые значения:

Кроме этого, у вас есть возможность:

• прикладывать файлы и оставлять комментарии;

• просматривать приложенные к инциденту скриншоты;

• посмотреть сработавшую политику и связанные с ней события за последние 12 часов:

• посмотреть группу событий в диапазоне +- 5 минут от события с помощью опции Для просмотра обнаруженных событий перейдите по ссылке:

• посмотреть историю изменений ответственных за индицент, атрибутов и статуса инцидента.

Удаление

При удалении инцидент перемещается в архив.

Внимание

Восстановить инцидент из архива нельзя. Вы сможете просматривать инцидент, но не сможете изменить. Поэтому перед удалением убедитесь, что это действительно необходимо.

Чтобы удалить инцидент:

1. Выберите в боковом меню Инциденты.

2. Поставьте флажок напротив инцидентов, которые вы хотите удалить.

3. В правом верхнем меню выберите Действия → Удалить инциденты и подтвердите удаление.

Удалить инциденты из архива можно с помощью команд.