14.1. Настройки инцидентов

Процесс расследования инцидента проходит в несколько этапов, на каждом из которых инциденту присваивается определенный статус или Состояние, например, Открыт --> Сбор данных --> В работе --> Закрыт. Переход между состояниями возможен по определенным правилам, определяемыми администратором, например, нельзя перейти из состояния Открыт сразу в состояние Закрыт. Возможные переходы между состояниями инцидентов описываются в Схеме инцидентов.

По окончании расследования каждому инциденту присваивается Решение, например, ложная атака, подтвержденная атака, выполнено и т.п.

Тип инцидента выбирается на этапе создания инцидента и определяет назначение инцидента. Например, типом инцидента может быть Инцидент безопасности, Задача и т.п.

Схема инцидента связывает воедино состояния, возможные переходы между состояниями, решения и типы инцидентов, формируя процесс расследования инцидента информационной безопасности.

UserGate LogAn позволяет настроить процесс расследования инцидентов индивидуально под нужды конкретной компании. После первоначальной установки решения создается схема расследования по умолчанию с названием Incident. Администратор системы может изменить существующую схему или создать свою собственную схему. Можно создать несколько схем расследования инцидентов, но использоваться может только одна схема, которая является активной.

Что бы создать свою собственную схему расследования инцидентов необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создайте необходимые решения инцидентов

В разделе Настройки инцидентов --> Решения инцидентов нажмите добавить, укажите название и описание создаваемого решения и нажмите кнопку Сохранить.

Шаг 2. Создайте типы инцидентов

В разделе Настройки инцидентов --> Типы инцидентов нажмите добавить, укажите название и описание создаваемого типа и нажмите кнопку Сохранить.

Шаг 3. Создайте состояния инцидентов

В разделе Настройки инцидентов --> Состояния инцидентов нажмите добавить, укажите название, описание и группу создаваемого состояния. Группа состояние определяет положение данного состояние в схеме состояний. Возможно 3 варианта:

  • Открыто - данная группа назначается состояниям инцидентов, по которым еще не начата работа или она приостановлена. Как правило, это начальные состояния инцидентов, например Создан. Все состояния данной группы помечаются синим цветом в веб-консоли.

  • В работе - данная группа назначается состояниям инцидентов, по которым ведется, но еще не завершена работа. Это промежуточные состояния инцидентов, например, В работе, Расследование. Все состояния данной группы помечаются желтым цветом в веб-консоли.

  • Закрыто - данная группа назначается состояниям инцидентов, по которым завершена работа. Это конечные состояния инцидентов, например, Завершено, Закрыто. При переходе в состояние этой группы необходимо обязательно указать решение инцидента, например, Ложная атака, Подтвержденная атака, Выполнено. Все состояния данной группы помечаются зеленым цветом в веб-консоли.

После определения всех полей нажмите кнопку Сохранить.

Шаг 4. Создайте схему инцидентов

В разделе Настройки инцидентов --> Схемы инцидентов нажмите добавить и укажите следующие параметры:

  • Сделать активной - делает данную схему активной. Только одна схема может быть активной, если была активна другая схема, то данное действие сделает ее не активной, и все новые и существующие инциденты перейдут на работу по новой схеме.

  • Схема - название схемы.

  • Префикс - префикс, который будет использован при назначении идентификаторов создаваемым инцидентам. Идентификатор будет иметь вид Префикс -- порядковый номер, например INC-99.

  • Описание - необязательное описание данной схемы.

  • Состояния рабочего процесса - описывает все состояния, которые может принимать инцидент в своем жизненном цикле. Добавьте сюда все состояния инцидентов, созданные на предыдущем шаге.

  • Начальное состояние - указывает начальное состояние, которое принимает инцидент при его создании.

  • Переходы - необходимо указать все возможные переходы между состояниями и дать им названия. Например, создать переход под названием Взять в работу для перехода из состояния Открыто в состояние В работе. Перевод инцидента между состояниями возможен только для тех состояний, между которыми определены переходы.

  • Решения инцидентов - указывает список возможных решений инцидентов. Решение является обязательным при завершении работы по расследованию тикета, то есть при переводе его в состояние, относящееся к группе закрыто. Выберите все необходимые решения, которые были созданы ранее.

  • Типы инцидентов - укажите типы инцидентов, которые могут быть использованы в этой схеме.

Шаг 5. Активируйте схему инцидентов

После создания схемы инцидентов ее необходимо активировать. Для этого активируйте чекбокс Сделать активной в настройках схемы инцидентов.