Создание инцидентов
Создание инцидентов – это процесс регистрации и документирования важных событий и результатов работы корреляционных правил. Инциденты могут быть созданы автоматически с помощью функции Incident Action или вручную пользователями, в зависимости от конкретной ситуации и необходимости.
Создание с помощью Incident Action
Для создания инцидента с помощью Incident Action необходимо
-
Добавить добавить это действие в разделе
Активные действия
в редакторе задания. -
В параметрах Incident Action действия заполнить поля:
Название инцидента
- краткое название, идентифицирующее инцидент в общем спискеКритичность
- уровень важности инцидентаWorkflow
- рабочий процессОписание инцидента
- подробное описание инцидента, редактор поддерживает Github Flavored MarkdownТип детализации
- формат дополнительной информацииПоиск
- поисковый запрос с событием или дополнительной информацией по инцидентуСсылка
- ссылка на дополнительную информацию, например на документацию
Детализация
- поисковый запрос или URL, предоставляющие дополнительную информациюНастройки запуска
- настройки запуска активного действияНе запускать для каждого результата
- создает один инцидент, даже если поиск вернул несколько результатов
Дополнительные поля
- настраиваемые поля, определенные в настройках модуляПоля из результатов поиска
- пары ключ-значение из результатов поискового заданияЛокальные параметры
- пары ключ-значение локальных и глобальных токенов для динамической подстановки данных
- Сохранить поисковое задание.
- При получении результатов поискового задания инцидент будет отображен в
Менеджере инцидентов
.
Полезная информация
Для того, чтобы больше узнать о работе поисковых заданий и активных действий перейдите в раздел Планировщик заданий.
Создание вручную
Для создания инцидента вручную необходимо:
- Перейти в
Менеджер инцидентов
. - Нажать кнопку
Создать инцидент
. Появится модальное окно с параметрами инцидента:
в этом окне требуется заполнить следующие поля:
- Основные поля:
Название инцидента
- название инцидента, отображаемое в общем списке инцидентовОписание инцидента
- описание, которое отображается в общем списке при раскрытии деталей инцидента
- Обязательные поля:
Критичность
- уровень важности инцидентаОтветственный
- сотрудник или группа сотрудников, ответственные за решение инцидента и его последствия
- Дополнительная информация - дополнительная информация к инциденту
- Нажать кнопку
Создать инцидент
. После нажатия кнопки, созданный инцидент отобразится в общем списке.