Обзор карточки инцидента
В статье описана структура и возможности карточки инцидента.
Общее описание
Данные в карточке делятся на несколько разделов (блоков). Ниже показана карточка со всеми возможными блоками:
Далее представлен детальный разбор каждого блока.
Основной блок и мета информация
В основном блоке находится:
Описание инцидентаДополнительные поля- поля из поискового запросаДетали инцидента- поля из карточки инцидента
Если для дополнительных полей инцидента настроена Связь с модулем Inventory, то привязанные к инциденту активы отобразятся в основном блоке в виде карточек.
Например, ниже показан блок с основной информацией. В нем видна привязка к Inventory по полю ID с двумя значениями, и для каждого из них найден соответствующий актив:
В блоке Мета информация указаны:
- идентификатор инцидента
- название правила, из которого сгенерирован инцидент
- время создания инцидента
- связанные заметки - список заметок, в которых упоминается данный инцидент
Пример блока Мета информация:
Блоки Инвентаризация и Mitre ATT&CK
Если для дополнительных полей инцидента настроена Связь с модулем Inventory, то привязанные к инциденту активы отобразятся не только в основном блоке, но и в блоке Инвентаризация - тоже в виде карточек:
Блок Mitre ATT&CK содержит в себе данные о привязанном mitre объекте, если такой есть:
Блок Связанные инциденты
Данный блок представляет собой таблицу, которая по умолчанию у инцидента пуста. По кнопке Добавить в эту таблицу можно
записать данные другого инцидента. Добавление происходит по идентификатору.
Связывание инцидентов происходит в двустороннем порядке: у привязываемого инцидента тоже появится ссылка на связанный с ним инцидент.
Если данная функция не нужна, ее можно отключить в разделе Настройки модулей,
выключив настройку Отображать в карточке инцидента у поля Связанные инциденты:
Блок История
История инцидента содержит сведения об изменении статуса или полей при редактировании, добавленных комментариях и результатах выполненных активных действий:
Для изменения статуса инцидента необходимо нажать на кнопку статуса и выбрать в выпадающем списке нужный переход.
Фильтры
В верхней части блока истории расположены фильтры, позволяющие выбирать, какие данные будут отображаться:
События — показывает, какие поля или статусы были изменены.
Комментарии — отображает добавленные комментарии.
Активные действия — позволяет просматривать результаты выполненных активных действий (скриптов).
По умолчанию все фильтры выключены, и в блоке отображаются все действия. Фильтры не являются взаимоисключающими, поэтому можно использовать несколько фильтров одновременно для выбора нужных данных.
Рядом с названием каждого фильтра отображается число — количество записей, скрывающихся под этим фильтром.
Добавление комментария
Добавление комментария осуществляется внутри блока истории. Для этого необходимо кликнуть по полю ввода Добавьте комментарий..., которое расположено под строкой с фильтрами.
После клика откроется текстовый редактор для добавления комментария.
В текстовом редакторе комментария есть следующие функции:
- Выбор заголовков — с помощью выпадающего меню можно выбрать уровень заголовка
- Форматирование текста — жирный, курсив, цвет текста, оформление (подчеркивание, зачеркивание, верхний/нижний индекс)
- Списки — маркированные, нумерованные
- Вставка ссылок — позволяет добавить ссылку к выделенному тексту через диалоговое окно или напрямую
- Кодовые блоки — поддержка вставки блоков кода с форматированием
- Таблицы — создание и редактирование таблиц, включая вставку, удаление строк и столбцов
В нижней части редактора расположен переключатель режимов отображения, позволяющий переключаться на текстовый режим редактирования. В этом режиме можно вручную отредактировать Markdown текст. Это позволяет добавлять специфичные функции markdown разметки, не отраженные кнопками в визуальном редакторе.