14.3. Журнал инцидентов

Во вкладке Журнал инцидентов представлен список созданных инцидентов информационной безопасности. В таблице отражена следующая информация об инцидентах.

Наименование в базе данных

Наименование в поисковом запросе

Описание

Создан

date

Дата и время создания инцидента.

Изменён

updateDate

Дата и время последнего изменения.

Индекс

incidentPrefix

Префикс инцидента (INC-N, где N -- порядковый номер инцидента; нумерация начинается с 0).

Имя

incidentName

Название инцидента.

Правило

rule

Название правила аналитики, в результате срабатывания которого автоматически был создан инцидент, т.е. при настройке правила аналитики было задано действие реагирования Создать инцидент.

Статус

status

Статус инцидента.

Существует 3 группы состояний, которые определяют положение данного состояние в схеме состояний:

  • Открыто - данная группа назначается состояниям инцидентов, по которым еще не начата работа или она приостановлена. Как правило, это начальные состояния инцидентов, например Создан. Все состояния данной группы помечаются синим цветом в веб-консоли.

  • В работе - данная группа назначается состояниям инцидентов, по которым ведется, но еще не завершена работа. Это промежуточные состояния инцидентов, например, В работе, Расследование. Все состояния данной группы помечаются желтым цветом в веб-консоли.

  • Закрыто - данная группа назначается состояниям инцидентов, по которым завершена работа. Это конечные состояния инцидентов, например, Завершено, Закрыто. При переходе в состояние этой группы необходимо обязательно указать решение инцидента, например, Ложная атака, Подтвержденная атака, Выполнено. Все состояния данной группы помечаются зеленым цветом в веб-консоли.

По умолчанию в UserGate создана схема Incident, которая содержит переходы между всеми состояниями. Схемы инцидентов можно добавить в разделе Настройки --> Настройка инцидентов --> Схема инцидентов.

Дополнительные состояния инцидентов можно задать во вкладке Настройки --> Настройка инцидентов --> Состояния инцидентов. Подробнее читайте в разделе Настройки инцидентов.

Решение

resolution

Решение инцидента. По умолчанию созданы:

  • False positive: ложная атака.

  • True positive: подтверждённая атака.

  • Duplicate: проблема повторяет другую проблему.

  • Won't do: задача не выполнима.

  • Done: проблема решена.

Дополнительные решения инцидентов можно создать во вкладке Настройки --> Настройка инцидентов --> Решения инцидентов. Подробнее читайте в разделе Настройки инцидентов.

Тип

type

Тип инцидента. По умолчанию доступны 2 типа: инцидент безопасности и задача. Дополнительно типы инцидентов можно создать в разделе Настройки --> Настройка инцидентов --> Типы инцидентов. Подробнее читайте в разделе Настройки инцидентов.

Приоритет

priority

Приоритет инцидента:

  • Низкий.

  • Нормальный.

  • Важный.

  • Критический.

Инициатор

reporter

Имя администратора, который создал инцидент.

Последнее изменение

lastChangeBy

Имя администратора, который внёс последнее изменение.

Назначен

assignee

Имя администратора, назначенного на инцидент.

Активность

  

Количество комментариев, срабатываний правил аналитики и журналов событий, добавленных в инцидент.

Администратор может выбрать для показа только те столбцы, которые ему необходимы. Для этого необходимо навести указатель мыши на название любого столбца, нажать на появившуюся справа от названия столбца стрелку, выбрать Столбцы и в появившемся контекстном меню выбрать необходимые параметры.

Возможно производить фильтрацию инцидентов по параметрам, представленным в таблице. Фильтрация доступна в двух режимах: простой и расширенный (подробнее о синтаксисе расширенного поиска читайте в разделе Поиск и фильтрация данных).

Настроенные фильтры можно сохранять, нажав кнопку Сохранить как. Сохранённые фильтры можно просмотреть с использованием кнопки Популярные фильтры.

Нажатием кнопки Экспортировать в CSV администратор может скачать отфильтрованный список инцидентов в csv-файл для дальнейшего анализа.