Группы инцидентов
Группы инцидентов предназначены для упрощения исследования инцидентов сотрудниками. Схожие инциденты помещают в группы, а их затем назначают пользователям.
Группа инцидентов может быть создана одним из следующих способов:
- вручную, через интерфейс платформы;
- автоматически, с использованием правила корреляции.
Работа с группами инцидентов включает в себя следующие процессы:
- Просмотр группы инцидентов.
- Создание группы инцидентов.
- Редактирование группы инцидентов.
- Назначение группы инцидентов пользователю.
- Назначение группы инцидентов группе пользователей.
- Добавление инцидентов в группу.
- Массовое закрытие инцидентов через группу.
- Открепление инцидентов от группы.
- Удаление группы инцидентов.
Для работы с группами инцидентов перейдите в раздел Инциденты → Группы инцидентов (см. рисунок 1).
Рисунок 1 – Раздел "Группы инцидентов"
В разделе отображается следующая информация:
- Название – наименование группы инцидентов;
- Описание – описание группы инцидентов;
- Кол-во инцидентов – количество инцидентов в группе;
- Пользователь – наименование пользователя, которому по умолчанию будут назначаться инциденты, попадающие в данную группу;
- Группа пользователей – наименование группы пользователей, которой по умолчанию назначаются инциденты, попадающие в данную группу;
- Обновлено – дата и время обновления информации о группе инцидентов.
Просмотр группы инцидентов
Для просмотра группы инцидентов нажмите кнопку 
в нужной строке таблицы или нажмите по ссылке в колонке Название. Откроется представление через боковую панель и форма просмотра выбранной группы инцидентов (см. рисунок 2).
Рисунок 2 – Форма просмотра группы инцидентов
В боковой панели отображается следующая информация о группах инцидентов:
- Наименование группы инцидентов;
- Количество инцидентов в группе;
- Дата и время изменения информации о группе.
В рабочей области, помимо информации, отображаемой в боковой панели, отображается следующая информация:
- Описание – описание группы инцидентов;
- Пользователь по умолчанию – наименование пользователя, которому по умолчанию будут назначаться инциденты, попадающие в данную группу;
- Группа по умолчанию – наименование группы пользователей, которой по умолчанию назначаются инциденты, попадающие в данную группу;
-
Блок Инциденты – содержит таблицу с информацией об инцидентах, входящих в группу:
- Срочность – цветовое и цифровое обозначение срочности инцидента;
- Название – наименование инцидента;
- Статус – состояние инцидента;
- Создано – дата и время создания инцидента;
- Уровень риска – цифровое обозначение уровня угрозы, присвоенного инциденту;
- ID – идентификатор инцидента;
- Тип инцидента – наименование типа инцидента;
- Группа инцидентов – наименование группы инцидентов, в которую входит инцидент;
- Актив – наименование актива, на котором выявлен инцидент;
- Последнее происшествие – дата и время последнего происшествия, зафиксированного по инциденту;
- Кол-во происшествий – количество происшествий, зафиксированных в инциденте;
- Кол-во повторных открытий – количество повторных открытий инцидента;
- Пользователь – наименование пользователя, назначенного на разбор инцидента;
- Группа пользователей – наименование группы пользователей, назначенной на разбор инцидента;
- Обновлено – дата и время изменения информации об инциденте;
- Категория – наименование категории, к которой относится инцидент: нарушение политики, сетевая аномалия, уязвимость;
- Эксплуатируется удаленно – признак, возможна ли удаленная эксплуатация уязвимости: да, нет;
- Результат анализа – результат анализа инцидента.
Создание группы инцидентов
-
Начните процесс создания группы инцидентов через универсальную таблицу или боковую панель. Откроется форма "Создать группу инцидентов" (см. рисунок 3).
Рисунок 3 – Форма "Создать группу инцидентов"
-
Укажите на форме следующую информацию:
- в поле Название укажите название группы;
- в поле Описание укажите описание группы;
- в поле Пользователь выберите пользователя, которому по умолчанию будут назначаться все инциденты из группы;
- в поле Группа пользователей выберите группу пользователей, которой по умолчанию будут назначаться все инциденты из группы.
-
Нажмите кнопку Создать.
Редактирование группы инцидентов
- Начните процесс редактирования группы инцидентов через универсальную таблицу или форму просмотра.
- Внесите необходимые изменения.
- Нажмите кнопку Сохранить.
Назначение группы инцидентов пользователю
- Выберите из списка необходимую группу инцидентов и нажмите кнопку
. Откроется окно "Назначение группы инцидентов". - В открывшемся окне из выпадающего списка выберите пользователя, которому необходимо назначить группу и нажмите кнопку Применить.
Назначение группы инцидентов группе пользователей
- Выберите из списка необходимую группу инцидентов и нажмите кнопку
. Откроется окно "Назначение группы инцидентов". - В открывшемся окне из выпадающего списка выберите группу пользователей, которому необходимо назначить группу и нажмите кнопку Применить.
Добавление инцидентов в группу
Добавление инцидентов в группу может быть выполнено следующими способами:
- автоматически, по результатам "сработки" правил корреляции;
- вручную с формы создания/редактирования инцидента (см. раздел Создание инцидента).
Массовое закрытие инцидентов через группу
- Выберите из списка необходимую группу инцидентов.
- В блоке Инциденты отметьте необходимые инциденты установив соответствующие флаги.
- Нажмите кнопку Закрыть инциденты и подтвердите действие в открывшемся окне. Выбранные инциденты будут переведены в статус "Закрыт".
Открепление инцидентов от группы
- Выберите из списка необходимую группу инцидентов.
- В блоке Инциденты отметьте необходимые инциденты установив соответствующие флаги.
- Нажмите кнопку Открепить связанные инциденты и подтвердите действие в открывшемся окне. Выбранные инциденты больше не будут входить в данную группу.
Удаление группы инцидентов
- Начините процесс удаления группы инцидентов через универсальную таблицу или боковую панель.
- Подтвердите удаление в открывшемся окне.
- Группа инцидентов будет удалена из платформы.