Перейти к основному содержимому
Версия: 4.1

Создание инцидентов

Создание инцидентов – это процесс регистрации и документирования важных событий и результатов работы корреляционных правил. Инциденты могут быть созданы автоматически с помощью функции Incident Action или вручную пользователями, в зависимости от конкретной ситуации и необходимости.

Создание с помощью Incident Action

Для создания инцидента с помощью Incident Action необходимо

  1. Добавить добавить это действие в разделе Активные действия в редакторе задания. alt text

  2. В параметрах Incident Action действия заполнить поля:

  • Название инцидента - краткое название, идентифицирующее инцидент в общем списке
  • Критичность - уровень важности инцидента
  • Workflow - рабочий процесс
  • Описание инцидента - подробное описание инцидента, редактор поддерживает Github Flavored Markdown
  • Тип детализации - формат дополнительной информации
    • Поиск - поисковый запрос с событием или дополнительной информацией по инциденту
    • Ссылка - ссылка на дополнительную информацию, например на документацию
  • Детализация - поисковый запрос или URL, предоставляющие дополнительную информацию
  • Настройки запуска - настройки запуска активного действия
    • Не запускать для каждого результата - создает один инцидент, даже если поиск вернул несколько результатов
  • Дополнительные поля - настраиваемые поля, определенные в настройках модуля
  • Поля из результатов поиска - пары ключ-значение из результатов поискового задания
  • Локальные параметры - пары ключ-значение локальных и глобальных токенов для динамической подстановки данных
  1. Сохранить поисковое задание.
  2. При получении результатов поискового задания инцидент будет отображен в Менеджере инцидентов.
Полезная информация

Для того, чтобы больше узнать о работе поисковых заданий и активных действий перейдите в раздел Планировщик заданий.

Создание вручную

Для создания инцидента вручную необходимо:

  1. Перейти в Менеджер инцидентов.
  2. Нажать кнопку Создать инцидент. Появится модальное окно с параметрами инцидента: alt text

в этом окне требуется заполнить следующие поля:

  • Основные поля:
    • Название инцидента - название инцидента, отображаемое в общем списке инцидентов
    • Описание инцидента - описание, которое отображается в общем списке при раскрытии деталей инцидента
  • Обязательные поля:
    • Критичность - уровень важности инцидента
    • Ответственный - сотрудник или группа сотрудников, ответственные за решение инцидента и его последствия
  • Дополнительная информация - дополнительная информация к инциденту
  1. Нажать кнопку Создать инцидент. После нажатия кнопки, созданный инцидент отобразится в общем списке.