Перейти к содержанию

Инциденты

Раздел "Инциденты"

Для наглядности наши специалисты подготовили видео фрагмент для работы с инцидентами SIEM "Платформа Радар"

Состав раздела "Инциденты"

Раздел «Инциденты» содержит следующие подразделы:

  • "Инциденты" - предназначен для работы с инцидентами;
  • "Группы инцидентов" - предназначен для управления инцидентами, объединенными в группы;
  • "Типы инцидентов" - предназначен для работы с типами инцидентов;
  • "Происшествия на отправку" - предназначен для выбора происшествий на отправку в ГосСОПКА (подробно работа с разделом описана в Инструкции по работе с НКЦКИ);
  • "Дополнительные поля" - предназначен для управления создаваемыми пользователями полями.

Подраздел "Инциденты"

Зарегистрированные инциденты информационной безопасности хранятся в системе в отдельном хранилище.

Основные элементы подраздела

Подраздел "Инциденты" предназначен для оперирования инцидентами.

Подраздел содержит следующие элементы (см. рисунок 1):

  • Текущий список инцидентов.
  • Общее количество инцидентов.
  • Календарь происшествий - область "Происшествия".
  • Набор фильтров для просмотра списка инцидентов - кнопка .
  • Область быстрого переключения списка по статусам инцидентов - предустановленные фильтры по статусам инцидентов .
  • Функция создания нового инцидента в системе - кнопка "Создать инцидент".
  • Функция редактирования параметров инцидентов - кнопка .
  • Функция выгрузки данных во внешний файл в формате CSV - кнопка "Выгрузить CSV".
  • Функция настройки временного периода обновления данных - раскрывающийся список "Вручную" (где "Вручную" значение по умолчанию).
  • Кнопка для запуска обновления данных - .
  • Функции назначения инцидентов пользователю или группе - раскрывающиеся списки "Назначить пользователю" и "Назначить группе".
  • Функция объединения выбранных инцидентов в группу инцидентов - раскрывающийся список "Объединить в группу".
  • Функция смены статуса - раскрывающийся список "Сменить статус".

Рисунок 1 -- Рабочая область подраздела «Инциденты»

Список инцидентов. Параметры списка

Система поддерживает изменение сортировки в списке инцидентов. По умолчанию используется сортировка по оценке срочности инцидента. Для выбора параметра сортировки нажмите на заголовок необходимого столбца. После нажатия сортировка списка будет изменена на выбранный параметр.

Текущий список инцидентов представлен в виде табличного списка со следующими основными параметрами:

  • Поле ( /) - флаговое поле для выбора строк с инцидентами для проведения с ними каких-то действий.
  • Поле "Оценка срочности" () - содержит оценку срочности отработки инцидента.
  • Поле "Уровень риска" - содержит численную оценку уровня риска.
  • Поле "Тип" - содержит пиктограмму - идентификатор типа, к которому принадлежит инцидент.
  • Поле "Тип инцидента" - содержит идентификатор инцидента.
  • Поле "Актив" - идентификатор сетевого актива на котором произошел инцидент (IP-адрес актива или сетевое имя) .
  • Поле "Заголовок" - текстовый заголовок инцидента, под которым он был зафиксирован в Платформе Радар.
  • Поле "Статус" - содержит статус в котором находится инцидент в настоящее время.
  • Поле "Последнее происшествие" - дата и время когда было зафиксировано последнее происшествие в рамках инцидента.
  • Поле "Кол-во происшествий" () - счетчик количества происшествий в рамках инцидента.
  • Поле "Кол-во повторных открытий" () - счетчик количества повторных открытий инцидента.
  • Поле "Пользователь" () - назначенный ответственный пользователь.
  • Поле "Группа" () - назначенная группа ответственных.
  • Поле "Группа инцидентов" - принадлежность инцидента к группе инцидентов (если есть). Клик по полю откроет окно просмотра всех инцидентов в группе (см. раздел Управление группой инцидентов).
  • Кнопка () - функция редактирования параметров инцидента.

При необходимости разработчиками Платформы Радар могут быть введены дополнительные поля списка.

Статусы инцидентов. Быстрое переключение списка инцидентов по статусам

Область быстрого переключения по статусам инцидентов представляет собой набор предустановленных фильтров по статусам со счетчиками инцидентов (строк таблицы) в каждом из статусов (см. рисунок 2):

  • "Все" - вывод на экран всех строк списка инцидентов.
  • "Новый" - вывод на экран списка новых инцидентов.
  • "Все открытые" - вывод на экран списка открытых инцидентов.
  • "Назначена" - вывод на экран списка назначенных инцидентов.
  • "В работе" - вывод на экран списка инцидентов, находящихся в работе.
  • "Запрошена информация" - вывод на экран списка инцидентов, по которым была запорошена информация.
  • "Ожидает проверки" - вывод на экран списка инцидентов, находящихся в ожидании проверки.
  • "Риск принят" - вывод на экран списка инцидентов, для которых приняты риски.
  • "Закрыт" - вывод на экран списка закрытых инцидентов.
  • "Недействительный" - вывод на экран списка недействительных инцидентов.

Для вывода на экран списка инцидентов с определенным статусом щелкните по нужному статусу в области быстрого переключения (см. рисунок 2).

Рисунок 2 -- Область быстрого переключения между списками инцидентов, отфильтрованных по текущему статусу

Настраиваемые фильтры списка инцидентов

При нажатии на кнопку открывается область с настраиваемыми фильтрами для табличного списка инцидентов. Фильтр списка инцидентов разбит на группы и позволяет провести фильтрацию списка по следующим параметрам:

  1. Вкладка "Фильтр" содержит следующие возможности (см. рисунок 3):

    • Фильтр по заголовку инцидента - свободный текстовый ввод;
    • Фильтр по идентификатору инцидента - свободный текстовый ввод;
    • Фильтр по типу инцидента - раскрывающийся список типов инцидентов;
    • Фильтр по группе инцидентов - раскрывающийся список групп инцидентов;
    • Фильтр по времени обработки инцидента - выбор времени из предустановленного в Платформе Радар списка (раскрывающийся список):
      • Нормальное;
      • Небольшая задержка;
      • Задержка;
      • Неприемлемый.


    Рисунок 3 -- Фильтры для списка инцидентов на вкладке "Фильтры"

  2. Вкладка "Источник" содержит следующие возможности (см. рисунок 4):

    • Фильтр по категории, к которой относится инцидент - раскрывающийся список со следующими значениями:
      • Уязвимость;
      • Сетевая аномалия;
      • Нарушение политики.
    • Фильтр по источнику, создавшему инцидент в Платформе Радар - раскрывающийся список со следующими значениями:
      • Сканер уязвимостей;
      • Устаревший инцидент;
      • Коррелятор событий;
      • Введён вручную;
      • Контроль соответствия;
      • Контроль потока событий.


    Рисунок 4 -- Фильтры для списка инцидентов на вкладке "Источник"

  3. Вкладка "Активы" содержит следующие возможности (см. рисунок 5):

    • Фильтр по группам активов - раскрывающийся список, состав списка групп активов определяется Администраторами Платформы Радар и правами доступа пользователя.
    • Фильтр по активам - раскрывающийся список, содержит текущий перечень активов.
    • Фильтр по значимости актива - раскрывающийся список со следующими значениями:
      • Ключевой актив;
      • Важный актив;
      • Нормальный актив;
      • Распределенный или некритичный актив;
      • Тестовый актив.
    • Фильтр по сетевой видимости актива - раскрывающийся список со следующими значениями:
      • Прямое подключение к Интернет;
      • DNZ, частичный доступ из Интернет;
      • Штатный доступ в Интернет через Proxy;
      • Ограниченный доступ в Интернет;
      • Не подключенный к сети.
    • Фильтр по расположению актива - раскрывающийся список предустановленных мест расположения активов (например названия городов, где располагаются сетевые активы).


    Рисунок 5 -- Фильтры для списка инцидентов на вкладке "Активы"

  4. Вкладка "Пользователи" содержит следующие возможности (см. рисунок 6):

    • Фильтр по логину пользователя, отвечающего за инциденты - раскрывающийся список логинов пользователей, зарегистрированных в Платформе Радар.
    • Фильтр по названию группы, отвечающей за инциденты - раскрывающийся список групп пользователей, созданных в Платформе Радар.


    Рисунок 6 -- Фильтры для списка инцидентов на вкладке "Пользователи"

  5. Вкладка "Временные срезы" содержит следующие возможности фильтрации (см. рисунок 7):

    • задать временной срез "Последнее происшествие с <дата, время> до <дата, время>";
    • задать временной срез "Последнее сканирование от <дата, время> до <дата, время>";
    • задать временной срез "Сменился статус с <дата, время> до <дата, время>".


    Рисунок 7 -- Фильтрация инцидентов по временным срезам. Вкладка "Временные срезы"

  6. Вкладка "Другие настройки" содержит следующие возможности (см. рисунок 8):

    • Фильтр по уровню риска - раскрывающийся список со следующими значениями:
      • Высокий;
      • Средний;
      • Низкий;
      • Нет.
    • Фильтр по наличию удаленной эксплуатации актива - раскрывающийся список "Да/ Нет/ Не важно".
    • Фильтр по типу сканирования "Внешнее сканирование" - раскрывающийся список "Да/ Нет/ Не важно".
    • Фильтр по типу инцидента "Обработанный?" - раскрывающийся список "Да/ Нет/ Не важно".

    Также на данной вкладке расположена функция редактирования количества строк табличного списка на одной экранной странице - "Кол-во на странице".


    Рисунок 8 - Вкладка фильтра "Другие настройки" и функция редактирования строк табличного списка инцидентов

Для фильтрации табличного списка необходимо установить нужные значения фильтров на всех вкладках и нажать на кнопку "Поиск" на любой из вкладок (см. рисунок 8). Для сброса всех фильтров - нажать на кнопку "Очистить".

Настроенный набор фильтров можно сохранить для последующего использования - кнопка "Сохранить".

Для использования ранее созданного и сохраненного набора фильтров - нажать на кнопку "Загрузить".

Настройка обновления данных

Функция настройки обновления данных состоит из раскрывающегося списка временных интервалов обновления и пиктограммы -- . По умолчанию устанавливается режим ручного обновления. Обновление вручную производится при нажатии на пиктограмму .

Для автообновления выбрать временной интервал обновления в раскрывающемся списке:

  • 5 с.
  • 15 с.
  • 30 с.
  • 60 с.

Назначение инцидентов пользователям и группам пользователей

При наличии необходимых прав пользователю предоставляется возможность назначить один или несколько инцидентов для разбора конкретному пользователю, зарегистрированному в Платформе Радар, или группе пользователей. Процедура назначения инцидента ответственному пользователю или группе пользователей для расследования подробно описана в разделе "Работа с инцидентами. Расследование инцидента. Назначение инцидента ответственным".

Смена статуса инцидента

При наличии необходимых прав пользователю предоставляется доступ к функции "Сменить статус" для одного или нескольких инцидентов. Процедура смены статуса подробно описана в разделе "Работа с инцидентами. Расследование инцидента. Изменение статуса инцидента".

Создание инцидента

При наличии необходимых прав пользователю доступна кнопка "Создать инцидент", по нажатию на которую произойдет переход на страницу создания инцидента в Платформе Радар вручную. Подробное описание создания инцидента в Платформе Радар вручную приведено в в разделе "Работа с инцидентами. Создание инцидента вручную".

Подраздел "Группы инцидентов"

Основные элементы подраздела

Подраздел "Группы инцидентов" предназначен для управления группами инцидентов. Для инцидентов, объединенных в группы, доступны массовые действия: закрытие, удаление, привязка пользователей и т.д.

Подраздел содержит (см. рисунок 9):

  • Текущий список групп инцидентов.
  • Набор фильтров для просмотра списка групп инцидентов - кнопка .
  • Функция создания новой группы инцидента в системе - кнопка "Создать".
  • Функция редактирования параметров группы инцидента - кнопка .


Рисунок 9 -- Рабочая область подраздела «Группы инцидентов»

Список групп инцидентов. Параметры списка

Текущий список групп инцидентов представлен в виде табличного списка со следующими основными параметрами:

  • Поле "Название" - содержит название группы инцидентов. Клик по полю откроет окно просмотра всех инцидентов в группе (см. раздел Управление группой инцидентов).
  • Поле "Описание" - содержит описание группы инцидентов.
  • Поле "Кол-во инцидентов" - содержит количество инцидентов, объединенных в группу.
  • Поле "Обновлено" - содержит дату и время последнего изменения группы инцидентов.
  • Кнопка () - функция редактирования параметров группы инцидента.

Настраиваемые фильтры списка групп инцидентов

При нажатии на кнопку открывается область с настраиваемыми фильтрами для табличного списка групп инцидентов (см. рисунок 10). Фильтр для списка групп инцидентов позволяет провести фильтрацию списка по следующим параметрам:

  • Фильтр по заголовку группы инцидентов - свободный текстовый ввод.


Рисунок 10 -- Фильтры для списка групп инцидентов

Также в области настройки фильтров расположена функция редактирования количества строк табличного списка на одной экранной странице -- "Кол-во на странице".

Создание группы инцидентов

При наличии необходимых прав пользователю доступна кнопка "Создать", по нажатию на которую произойдет переход на страницу создания новой группы инцидентов. Подробное описание создания новой группы инцидентов в Платформе Радар приведено в подразделе "Работа с инцидентами. Группировка инцидента. Ручное добавление в группу" .

Управление группой инцидентов

При просмотре перечня инцидентов, объединенных в группу (см. рисунок 11) интерфейс подобен интерфейсу просмотра всех инцидентов, за исключением:

  • Отсутствуют элементы управления фильтрами и просмотра панели происшествий.
  • Добавление разделы с описанием группы инцидентов, назначенным ответственным за инцидент пользователем (группой пользователей).
  • Добавлены кнопки управления инцидентами в группе:
    • "Отвязать выбранные инциденты от группы" - выбранные инциденты исключаются из группы;
    • "Закрыть все инциденты в группе" - все инциденты переводятся в статус "Закрыт";
    • "Удалить инциденты группы" - все инциденты в списке удаляются;
    • "Назначить пользователю" - все инциденты группы назначаются пользователю;
    • "Назначить группе" - все инциденты группы назначаются группе пользователей.


Рисунок 11 -- Просмотр инцидентов в группе.

Подраздел "Типы инцидентов"

Основные элементы подраздела

Подраздел "Типы инцидентов" предназначен для оперирования типами инцидентов.

Подраздел содержит (см. рисунок 12):

  • Текущий список типов инцидентов.
  • Набор фильтров для просмотра списка типов инцидентов - кнопка .
  • Функция создания нового типа инцидента в системе - кнопка "Создать".
  • Функция редактирования параметров типа инцидента - кнопка .
  • Функция выгрузки данных по типам инцидентов во внешний файл - кнопка "CSV".
  • Функция экспорта выбранных типов инцидентов во внешний файл - кнопка "Экспортировать".
  • Функция импорта выбранных типов инцидентов из внешнего файла - кнопка "Импортировать".
  • Функция удаления выбранных типов инцидентов - кнопка "Удалить".
  • Функция экспорта всех типов инцидентов во внешний файл - кнопка "Экспортировать всё".
  • Функция удаления всех типов инцидентов - кнопка "Удалить всё".

Рисунок 12 -- Рабочая область подраздела «Типы инцидентов»

Список типов инцидентов. Параметры списка

Текущий список типов инцидентов представлен в виде табличного списка со следующими основными параметрами:

  • Поле ( /) - флаговое поле для выбора строк с типами для проведения с ними каких-то действий.
  • Поле "Оценка срочности" () - содержит оценку срочности отработки инцидента.
  • Поле () - "уровень риска", содержит численную оценку уровня риска данного типа инцидента.
  • Поле "Тип" -- содержит пиктограмму - идентификатор типа.
  • Поле () - поле статуса "Эксплуатируется удаленно", указывает на возможность удаленной эксплуатации данного типа инцидента.
  • Поле "ID" - идентификатор типа инцидента в Платформе Радар.
  • Поле "Заголовок" - название типа инцидента, под которым он был заведен в Платформе Радар.
  • Поле "Источник" - содержит пиктограммы, соответствующие тому или иному источнику данных.
  • Кнопка () - функция редактирования параметров типа инцидента.

При необходимости разработчиками Платформы Радар могут быть введены дополнительные поля списка.

Настраиваемые фильтры списка типов инцидентов

При нажатии на кнопку открывается область с настраиваемыми фильтрами для табличного списка типов инцидентов (см. рисунок 13). Фильтр для списка типов инцидентов позволяет провести фильтрацию списка по следующим параметрам:

  • Фильтр по заголовку типа инцидента - свободный текстовый ввод.
  • Фильтр по статусу - раскрывающийся список с возможными значениями статуса.
  • Фильтр по расположению актива - раскрывающийся список предустановленных мест расположения активов (например названия городов, где располагаются сетевые активы).
  • Фильтр по наличию удаленной эксплуатации актива - раскрывающийся список "Да/ Нет/ Не важно".


Рисунок 13 -- Фильтры для списка типов инцидентов

Также в области настройки фильтров расположена функция редактирования количества строк табличного списка на одной экранной странице - "Кол-во на странице".

Подробнее работа с фильтрами приведена в подразделе "Настраиваемые фильтры списка инцидентов".

Создание типа инцидента

При наличии необходимых прав пользователю доступна кнопка "Создать", по нажатию на которую произойдет переход на страницу создания нового типа инцидента. Подробное описание создания нового типа инцидента в Платформе Радар приведено в подразделе "Работа с базой знаний типов инцидентов. Создание нового типа инцидента вручную".

Подраздел "Дополнительные поля"

Основные элементы подраздела

Подраздел "Дополнительные поля" предназначен для управления вновь создаваемыми для карточки инцидентов полями. Такие поля можно заполнять в карточке инцидентов вручную, либо настроить автоматическое заполнение полей в правилах корреляции.

Подраздел содержит (см. рисунок 14):

  • Текущий список дополнительных полей.
  • Набор фильтров для просмотра списка дополнительных полей - кнопка .
  • Функция создания нового дополнительного поля в системе - кнопка "Создать".
  • Функция редактирования параметров дополнительного поля - кнопка .


Рисунок 14 -- Рабочая область подраздела «Дополнительные поля»

Список дополнительных полей. Параметры списка

Текущий список дополнительных полей представлен в виде табличного списка со следующими основными параметрами:

  • Поле "Название" - содержит название дополнительного поля. Клик по полю откроет окно просмотра всех инцидентов с заполненным дополнительным полем.
  • Поле "Ключ" - содержит ключ дополнительного поля.
  • Поле "Тип" - содержит тип дополнительного поля.
  • Поле "Сортировка" - содержит порядковый номер отображения дополнительного поля в карточке инцидентов.
  • Поле "Обновлено" - содержит дату и время последнего изменения дополнительного поля.
  • Кнопка () - функция редактирования параметров дополнительного поля.

Настраиваемые фильтры списка дополнительных полей

При нажатии на кнопку открывается область с настраиваемыми фильтрами для табличного списка дополнительных полей (см. рисунок 15). Фильтр для списка дополнительных полей позволяет провести фильтрацию списка по следующим параметрам:

  • Фильтр по наименованию дополнительного поля - свободный текстовый ввод.
  • Фильтр по типу дополнительного поля - выбор из списка:
    • булевый тип;
    • JSON;
    • строка;
    • число;
    • действительное число;
    • дата.


Рисунок 15 -- Фильтры для списка дополнительных полей

Также в области настройки фильтров расположена функция редактирования количества строк табличного списка на одной экранной странице - "Кол-во на странице".

Создание дополнительного поля

При наличии необходимых прав пользователю доступна кнопка "Создать", по нажатию на которую произойдет переход на страницу создания дополнительного поля. При создании дополнительного поля (см. рисунок 16) заполните обязательные поля:

  • "Название" - название дополнительного поля.
  • "Ключ" - ключ дополнительного поля, используемый при настройке правил корреляции.
  • "Тип" - выбираемый из списка тип дополнительного поля.
  • "Сортировка" - порядковый номер отображения дополнительного поля в карточке инцидента, задается числом.


Рисунок 16 -- Создание дополнительного поля

После заполнения всех полей нажмите кнопку "Добавить", после чего дополнительное поле будет добавлено в список и будет готово к использованию.

Использование дополнительных полей

Подробно об использовании дополнительных полей в карточке инцидентов описано в подразделе "Работа с инцидентами. Привязка дополнительных полей".