Перейти к содержанию

Типы инцидентов

Общие сведения

Типы инцидентов содержат сведения об угрозах, на основе которых создаются инциденты. В платформе каждый инцидент всегда принадлежит к определенному типу инцидента.

В платформе предоставляется большой набор предустановленных типов, но существует возможность добавлять, актуализировать и настраивать типы инцидентов самостоятельно.

Тип инцидента всегда принадлежит к одному из трех типов уязвимостей:

  • нарушение политики – это наступление условий, нарушающих политику безопасности эксплуатации актива (задуманную службой безопасности);
  • сетевая аномалия – актив проявляет сетевую активность, которую проявлять не должен;
  • уязвимость – у злоумышленника есть возможность получить контроль (полный или частичный) над активом.

Работа с типами инцидентов включает в себя следующие процессы:

  1. Просмотр и анализ типа инцидента.
  2. Создание типа инцидента.
  3. Редактирование типа инцидента.
  4. Написать ответственному.
  5. Импорт типов инцидентов.
  6. Экспорт типов инцидентов.
  7. Экспорт типов инцидентов в CSV.
  8. Удаление типов инцидентов.

Для работы с типами инцидентов перейдите в раздел ИнцидентыТипы инцидентов (см. рисунок 1).

Рисунок 1 – Раздел "Типы инцидентов"

В разделе отображается следующая информация:

  • ID – идентификатор типа инцидента;
  • Название – наименование типа инцидента;
  • Тип уязвимости – наименование типа уязвимости, к которой относится угроза: нарушение политики, сетевая аномалия, уязвимость;
  • Оценка риска – цифровое обозначение уровня угрозы;
  • Правила корреляции – список правил корреляций, которые задействуют данный тип инцидента при "сработке". Если у типа инцидента выставлена связь с правилами корреляции, то его нельзя изменить.

Элементы управления универсальными таблицами описаны в разделе Интерфейс платформы. Универсальные таблицы.

Просмотр и анализ типа инцидента

Для просмотра типа инцидента нажмите кнопку в нужной строке таблицы или нажмите по ссылке в колонке Название. Откроется представление через боковую панель и форма просмотра выбранного типа инцидента (см. рисунок 2).

Рисунок 2 – Форма просмотра типа инцидента

В боковой панели отображается следующая информация о типах инцидентов:

  • Оценка риска – цветовое и цифровое обозначение уровня угрозы;
  • Название типа инцидента;
  • Уникальный идентификатор типа инцидента (короткая версия);
  • Тип уязвимости – наименование типа уязвимости, к которой относится угроза: нарушение политики, сетевая аномалия, уязвимость;
  • Дата и время последнего изменения.

В рабочей области, помимо информации, отображаемой в боковой панели, отображается следующая информация:

  • Признак соответствия ПО: да, нет. Параметр определяет используется данный тип инцидентов для создания инцидентов при оценке соответствия ПО (подробнее см. раздел Оценка соответствия ПО);
  • Сводка – краткое описание угрозы;
  • Описание – подробное описание угрозы;
  • Последствия реализованной угрозы – описание последствий, которые могут возникнуть, если угроза была реализована;
  • Рекомендации по устранению угрозы – описание действий, которые рекомендуется предпринять для устранения угрозы;
  • Рекомендации по уменьшению риска – список основных действий, которые рекомендуется предпринять для предотвращения реализации угрозы;
  • Таблица со списком инцидентов, которые были созданы с признаком принадлежности к данному типу инцидента.

Элементы управления боковой панелью описаны в разделе Интерфейс платформы. Боковая панель.

Создание типа инцидента

  1. Начните процесс создания типа инцидента через универсальную таблицу или боковую панель. Откроется форма "Создание типа инцидента" (см. рисунок 3).

    Рисунок 3 – Форма "Создание типа инцидента"

  2. Укажите на форме следующую информацию:

    • в поле Название укажите название типа инцидента;
    • в поле Тип уязвимости из выпадающего списка выберите тип угрозы, к которой будет относится тип инцидента: нарушение политики, сетевая аномалия, уязвимость;

    • при необходимости использовать данный тип инцидентов для создания инцидентов при оценке соответствия ПО включите соответствующий переключатель;

      Примечание: для создания инцидентов при оценке соответствия ПО требуется лишь один тип инцидента с данным признаком.

    • в поле Сводка укажите краткое описание угрозы;

    • в поле Описание укажите подробное описание угрозы;
    • в поле Последствия укажите описание последствий, которые могут возникнуть, если угроза будет реализована;
    • в поле Рекомендации по устранению угрозы укажите перечень действий, которые необходимо выполнить для устранения угрозы;
    • в поле Рекомендации по уменьшению риска укажите перечень действий, которые необходимо предпринять для предотвращения возникновения угрозы;
    • в поле Внутренняя заметка укажите дополнительные сведения, предназначенные для внутреннего использования;
    • в поле Оценка риска задайте цифровое обозначение уровня угрозы;
    • в поле Комментарий укажите дополнительные сведения.

  3. Нажмите кнопку Создать.

Редактирование типа инцидента

  1. Начните процесс редактирования типа инцидента через универсальную таблицу или форму просмотра.
  2. Внесите необходимые изменения.
  3. Нажмите кнопку Сохранить.

Написать ответственному

  1. Откройте форму просмотра типа инцидента и нажмите кнопку Написать ответственному. Откроется окно "Новое сообщение" (см. рисунок 4).

    Рисунок 4 – Окно "Новое сообщение"

  2. Укажите в окне следующую информацию:

    • в поле Получатель из выпадающего списка выберите получателя сообщения;
    • в поле Заголовок укажите тему сообщения;
    • в поле Сообщение укажите текст сообщения.

  3. Нажмите кнопку Отправить. Для просмотра списка полученных/отправленных сообщений необходимо перейти в Профиль пользователяСообщения.

  4. К сообщению будет автоматически прикреплена ссылка на соответствующую карточку типа инцидента.

Дублирование типа инцидента

  1. Откройте форму просмотра типа инцидента и нажмите кнопку Дублировать.
  2. В открывшемся окне укажите наименование типа инцидента и нажмите кнопку Дублировать.
  3. Будет создан новый тип инцидента на основе существующего.

Импорт типов инцидентов

  1. Начните процесс импорта типов инцидентов через универсальную таблицу или боковую панель.
  2. В открывшемся окне укажите путь к архиву с данными.
  3. Нажмите кнопку Открыть.

Экспорт типов инцидентов

  1. Начните процесс экспорта типов инцидентов через универсальную таблицу или боковую панель.
  2. Будет сформирован архив с типами инцидентов в формате .zip.
  3. Нажмите кнопку Скачать и укажите путь для сохранения архива.

Экспорт типов инцидентов в CSV

  1. Начните процесс экспорта в CSV типов инцидентов через универсальную таблицу или боковую панель.
  2. В открывшемся окне укажите путь для сохранения файла/файлов в формате .csv.

Удаление типа инцидентов

  1. Начините процесс удаления типа инцидентов через универсальную таблицу или боковую панель.
  2. Подтвердите удаление в открывшемся окне.
  3. Тип инцидентов будет удален из платформы.