Во вкладке Журнал инцидентов представлен список созданных инцидентов информационной безопасности. В таблице отражена следующая информация об инцидентах.
Наименование в базе данных |
Наименование в поисковом запросе |
Описание |
---|---|---|
Создан |
date |
Дата и время создания инцидента. |
Изменён |
updateDate |
Дата и время последнего изменения. |
Индекс |
incidentPrefix |
Префикс инцидента (INC-N, где N -- порядковый номер инцидента; нумерация начинается с 0). |
Имя |
incidentName |
Название инцидента. |
Правило |
rule |
Название правила аналитики, в результате срабатывания которого автоматически был создан инцидент, т.е. при настройке правила аналитики было задано действие реагирования Создать инцидент. |
Статус |
status |
Статус инцидента. Существует 3 группы состояний, которые определяют положение данного состояние в схеме состояний:
По умолчанию в UserGate создана схема Incident, которая содержит переходы между всеми состояниями. Схемы инцидентов можно добавить в разделе Настройки --> Настройка инцидентов --> Схема инцидентов. Дополнительные состояния инцидентов можно задать во вкладке Настройки --> Настройка инцидентов --> Состояния инцидентов. Подробнее читайте в разделе Настройки инцидентов. |
Решение |
resolution |
Решение инцидента. По умолчанию созданы:
Дополнительные решения инцидентов можно создать во вкладке Настройки --> Настройка инцидентов --> Решения инцидентов. Подробнее читайте в разделе Настройки инцидентов. |
Тип |
type |
Тип инцидента. По умолчанию доступны 2 типа: инцидент безопасности и задача. Дополнительно типы инцидентов можно создать в разделе Настройки --> Настройка инцидентов --> Типы инцидентов. Подробнее читайте в разделе Настройки инцидентов. |
Приоритет |
priority |
Приоритет инцидента:
|
Инициатор |
reporter |
Имя администратора, который создал инцидент. |
Последнее изменение |
lastChangeBy |
Имя администратора, который внёс последнее изменение. |
Назначен |
assignee |
Имя администратора, назначенного на инцидент. |
Активность |
Количество комментариев, срабатываний правил аналитики и журналов событий, добавленных в инцидент. |
Администратор может выбрать для показа только те столбцы, которые ему необходимы. Для этого необходимо навести указатель мыши на название любого столбца, нажать на появившуюся справа от названия столбца стрелку, выбрать Столбцы и в появившемся контекстном меню выбрать необходимые параметры.
Возможно производить фильтрацию инцидентов по параметрам, представленным в таблице. Фильтрация доступна в двух режимах: простой и расширенный (подробнее о синтаксисе расширенного поиска читайте в разделе Поиск и фильтрация данных).
Настроенные фильтры можно сохранять, нажав кнопку Сохранить как. Сохранённые фильтры можно просмотреть с использованием кнопки Популярные фильтры.
Нажатием кнопки Экспортировать в CSV администратор может скачать отфильтрованный список инцидентов в csv-файл для дальнейшего анализа.