Перейти к основному содержимому
Версия: 5.3

Инцидент

Инцидент — это событие, выявленное в результате корреляционного поиска и содержащее аномальные показатели активности.

В Smart Monitor существует два варианта создания инцидентов: вручную в интерфейсе Менеджера инцидентов или с помощью активного действия Создание инцидента в Планировщике задач.

Описание полей инцидента

Состав полей инцидента настраивается в карточке инцидента. По умолчанию сущность инцидента характеризуется следующими основными полями:

Дата и время:

  • Дата и время, когда произошел инцидент

Критичность:

  • Показатель степени угрозы инцидента. Отображается круглой пиктограммой определенного цвета

Примеры значений:

  • Норма: 🟢 Зеленый
  • Информация: 🔵 Синий
  • Предупреждение: 🟡 Желтый
  • Тревога: 🔴 Красный
Информация

Вы можете настроить свои уровни критичности в настройках модуля Incident Manager.

Инцидент:

  • Краткое описание события, вызвавшего инцидент

Статус:

  • Текущий статус инцидента, отражающий его состояние в процессе. Список статусов для инцидентов и правила перехода между ними настраивается в Рабочем процессе

Примеры значений:

  • Новый - новый инцидент, поступивший в Менеджер инцидентов, работа с инцидентом не начата
  • В работе - инцидент взят в работу
  • Проверка - идет процесс согласования работ, требуемых для устранения инцидента/идет процесс согласования возможности закрытия инцидента после его устранения
  • Отклонен - инцидент отложен до устранения причины отклонения
  • Закрыт - работы по устранению инцидента завершены, инцидент закрыт по согласованию

Ответственный:

  • Сотрудник или группа сотрудников, ответственных за устранение инцидента.
Обратите внимание!

Для каждого инцидента доступна история работы с ним, в которой можно отследить весь список изменений статусов, значений полей, а также оставленные комментарии.

Карточка инцидента

Типовые примеры инцидентов

Работа с инцидентами в модуле Менеджер инцидентов позволяет оперативно реагировать и применять различные действия к возникающим событиям безопасности.

К примеру, инцидентом может стать обнаружение потенциально вредоносного shell-скрипта:

Инцидент shell-скрипта

Согласно информации, содержащейся в карточке инцидента, в системе обнаружено выполнение команды, связанной с созданием дампа памяти процесса lsass.exe с использованием утилиты Procdump. Действие было инициировано пользователем SavelevaAA на рабочей станции SPB-WS903.

На приведенном ниже изображении представлен инцидент с высочайшим уровнем критичности Тревога.

Инцидент Тревога

В системе зафиксирована попытка получения конфигурационных данных сервиса SplunkForwarder пользователем AndreevSA на рабочей станции EKB-WS396. Пользователь использовал системные инструменты WMI и командную строку для выполнения запроса write.service.SplunkForwarder get Pathname.

После взятия в работу данный инцидент можно перевести в статусы Закрыть, Отменить, отметить его как Ложное срабатывание или Заблокировать пользователя.