13.3. Действия реагирования

Действия реагирования позволяют определить методы реагирования при срабатывании правил аналитики информационной безопасности. Действия могут быть созданы во вкладке Аналитика --> Действия реагирования. При добавлении действия необходимо указать следующие параметры.

Наименование

Описание

Включено

Включает/отключает правило реагирования.

Название

Отображает название правила реагирования.

Описание

Описывает правила реагирования. Данное поле необязательно для заполнения.

Действие

Показывает действие, выбранное для исполнения в случае срабатывания правила аналитики. Действие реагирования выполнится, если оно указано в свойствах правила аналитики.

Для выбора доступны следующие виды реагирования:

  • Отправить email: отправка письма на выбранные почтовые адреса. Настройка действия Отправить email будет рассмотрена далее в разделе Действие типа отправить email.

  • Отправить сообщение: отправка сообщения на указанные номера телефонов. Настройка действия Отправить сообщение будет рассмотрена далее в разделе Действие типа отправить сообщение.

  • Webhook: получение уведомления о срабатывании правила на веб-странице, адрес которой был указан при настройке действия. Настройка действия Webhook будет рассмотрена далее в разделе Действие типа webhook.

  • Создать инцидент: автоматическое создание инцидента в результате срабатывания правил аналитики. О настройке действия Создать инцидент читайте в разделе Настройки инцидентов.

Записывать в журнал правил

Включает/отключает журналирование данных о срабатывании действия реагирования. Данные записываются в журнал событий Log Analyzer, который можно просмотреть во вкладке Журналы и отчёты --> Журналы Log Analyzer --> Журнал событий.

Группировать похожие срабатывания

Для удобства при настройке действий реагирования возможно использование функции группировки срабатываний.

Группировка возможна по следующим параметрам:

  • Никогда.

  • За период времени. При настройке группировки срабатываний правила аналитики за период времени действие реагирования выполнится, если в течении указанного времени произошло хотя бы одно срабатывание.

  • По количеству срабатываний. При настройке группировки по количеству срабатываний правила аналитики действие реагирования выполнится только после указанного количества срабатываний.

Период группировки

Отображает период группировки в минутах. Задание параметра возможно только при выборе группировки похожих срабатываний за период времени.

Количество срабатываний

Отображает заданное количество срабатываний. Задание параметра возможно только при выборе группировки похожих срабатываний по количеству срабатываний.

Созданные действия реагирования можно редактировать, удалять, копировать, включать, отключать. Также в списке действий реагирования можно отображать все действия, только включённые или только выключенные.