Процесс расследования инцидента проходит в несколько этапов, на каждом из которых инциденту присваивается определенный статус или Состояние, например, Открыт --> Сбор данных --> В работе --> Закрыт. Переход между состояниями возможен по определенным правилам, определяемыми администратором, например, нельзя перейти из состояния Открыт сразу в состояние Закрыт. Возможные переходы между состояниями инцидентов описываются в Схеме инцидентов.
По окончании расследования каждому инциденту присваивается Решение, например, ложная атака, подтвержденная атака, выполнено и т.п.
Тип инцидента выбирается на этапе создания инцидента и определяет назначение инцидента. Например, типом инцидента может быть Инцидент безопасности, Задача и т.п.
Схема инцидента связывает воедино состояния, возможные переходы между состояниями, решения и типы инцидентов, формируя процесс расследования инцидента информационной безопасности.
UserGate LogAn позволяет настроить процесс расследования инцидентов индивидуально под нужды конкретной компании. После первоначальной установки решения создается схема расследования по умолчанию с названием Incident. Администратор системы может изменить существующую схему или создать свою собственную схему. Можно создать несколько схем расследования инцидентов, но использоваться может только одна схема, которая является активной.
Что бы создать свою собственную схему расследования инцидентов необходимо выполнить следующие действия:
Наименование |
Описание |
---|---|
Шаг 1. Создайте необходимые решения инцидентов |
В разделе Настройки инцидентов --> Решения инцидентов нажмите добавить, укажите название и описание создаваемого решения и нажмите кнопку Сохранить. |
Шаг 2. Создайте типы инцидентов |
В разделе Настройки инцидентов --> Типы инцидентов нажмите добавить, укажите название и описание создаваемого типа и нажмите кнопку Сохранить. |
Шаг 3. Создайте состояния инцидентов |
В разделе Настройки инцидентов --> Состояния инцидентов нажмите добавить, укажите название, описание и группу создаваемого состояния. Группа состояние определяет положение данного состояние в схеме состояний. Возможно 3 варианта:
После определения всех полей нажмите кнопку Сохранить. |
Шаг 4. Создайте схему инцидентов |
В разделе Настройки инцидентов --> Схемы инцидентов нажмите добавить и укажите следующие параметры:
|
Шаг 5. Активируйте схему инцидентов |
После создания схемы инцидентов ее необходимо активировать. Для этого активируйте чекбокс Сделать активной в настройках схемы инцидентов. |