Перейти к основному содержимому
Версия: 6.0

Incident Manager

Общее описание

Модуль Менеджер инцидентов предназначен для фиксации инцидентов безопасности и обеспечивает удобную работу с ними. Модуль позволяет классифицировать события по уровню критичности и обеспечивает полный цикл управления инцидентами.

Инцидент — это событие, выявленное в результате корреляционного поиска и содержащее отклонение от нормальных показателей активности. К примеру, инцидентом может являться резкий всплеск сетевой активности в указанный промежуток времени.

Каждому инциденту присваивается уровень критичности — показатель степени угрозы, который помогает определить срочность и порядок реагирования на событие. Стандартными уровнями критичности в Менеджере инцидентов являются Норма, Предупреждение, Тревога и Информация.

Для адаптации модуля под специфические задачи мониторинга Incident Manager предоставляет инструменты гибкой настройки состава полей инцидента через интерфейс карточки инцидента. Помимо использования стандартных системных атрибутов предусмотрено создание пользовательских полей различных типов — от простых текстовых и числовых до элементов с поддержкой разметки Markdown.

Поддержка динамических фильтров и системы токенов позволяет автоматизировать наполнение полей инцидента на основе поисковых запросов и выстраивать логические зависимости между полями. Такая глубокая кастомизация обеспечивает полноту контекста при расследовании и позволяет привести структуру инцидента в соответствие с регламентами безопасности.

Функциональные возможности

Интерфейс Менеджера инцидентов позволяет:

  • выполнять поиск по инцидентам с гибкими настройками фильтрации
  • редактировать инцидент, например, изменять его статус, уровень критичности и назначать ответственных
  • создавать инциденты вручную с необходимыми параметрами
  • просматривать детали и историю изменений инцидента
  • выполнять группировку схожих инцидентов и строить статистику по инцидентам в группе
  • выполнять активные действия при переводе инцидентов между статусами
  • выполнять активные действия по инициативе пользователя для отдельных инцидентов или группы инцидентов

Интерфейс модуля Менеджер инцидентов представлен на изображении ниже:

Интерфейс менеджера инцидентов

Рабочий процесс. Активные действия

Основа жизненного цикла инцидента — Рабочий процесс, реализующий четкую схему обработки инцидента — от создания до завершения, включая все возможные статусы, правила переходов между ними и ролевые ограничения для этих операций. Smart Monitor поддерживает одновременное существование множества рабочих процессов, которые могут автоматически назначаться новым инцидентам в соответствии с правилами их создания.

Ниже представлен пример рабочего процесса в виде графа:

Рабочий процесс

При изменении статуса инцидента могут быть выполнены Активные действия — операции для автоматизированного реагирования на инцидент, такие как отправка уведомлений или назначение ответственных.