Перейти к основному содержимому
Версия: 5.1

Обзор карточки инцидента

В статье описана структура и возможности карточки инцидента.

Общее описание

Данные в карточке делятся на несколько разделов (блоков). Ниже показана карточка со всеми возможными блоками: Общий скрин

Далее представлен детальный разбор каждого блока.

Основной блок и мета информация

В основном блоке находится:

  • Описание инцидента
  • Дополнительные поля - поля из поискового запроса
  • Детали инцидента - поля из карточки инцидента

Если для дополнительных полей инцидента настроена Связь с модулем Inventory, то привязанные к инциденту активы отобразятся в основном блоке в виде карточек.

Например, ниже показан блок с основной информацией, где видна привязка к Inventory по полю ID (с двумя значениями), и для каждого значения найден соответствующий актив: Скрин основного блока

В блоке Мета информация указаны:

  • идентификатор инцидента
  • название правила, из которого сгенерирован инцидент
  • время создания инцидента
  • связанные заметки - список заметок, в которых упоминается данный инцидент

Пример блока Мета информация: Блок мета информация

Блоки Инвентаризация и Mitre ATT&CK

Если для дополнительных полей инцидента настроена Связь с модулем Inventory, то привязанные к инциденту активы отобразятся не только в основном блоке, но и в блоке Инвентаризация - тоже в виде карточек: Скрин основного блока

Блок Mitre ATT&CK содержит в себе данные о привязанном mitre объекте, если такой есть:

Mitre block

Блок Связанные инциденты

Данный блок представляет собой таблицу, которая по умолчанию у инцидента пуста. По кнопке Добавить в эту таблицу можно записать данные другого инцидента. Добавление происходит по идентификатору.

Таблица связанных инцидентов Добавление связанного инцидента.png

Связывание инцидентов происходит в двустороннем порядке: у привязываемого инцидента тоже появится ссылка на связанный с ним инцидент.

Если данная функция не нужна, ее можно отключить в разделе Настройки модулей, выключив настройку Отображать в карточке инцидента у поля Связанные инциденты:

Настройка отображения таблицы.png

Блок История

В истории сохраняются такие изменения инцидента, как изменение статуса, изменение полей при редактировании, комментарии:

img.png

Комментарии поддерживают markdown формат.

Для изменения статуса инцидента необходимо нажать на кнопку статуса и выбрать в выпадающем списке нужный переход.