Обнаружения

В меню Обнаружения доступна работа с алертами и рекомендациями безопасности.

Для работы меню необходимо наличие Сервиса обработки обнаружений.

Для дополнительного обогащения рекомендаций необходимо наличие Компонента выявления уязвимостей.

Алерты

Раздел Алерты используется для просмотра и обработки найденных детектов в событиях операционной системы при помощи задач EDR (Windows/Linux/macOS): Monitoring. Алерты необходимо брать в работу и после проведенного анализа завершать работу над ними.

Раздел состоит из:

  • Панели навигации.

  • Таблицы алертов.

  • Боковой панели.

Панель навигации

В панели навигации доступны:

  • Поиск алертов по названию и имплементациям.

  • Фильтрация по тегам или через конструктор фильтров.

  • Сортировка алертов.

  • Работа с сохраненными фильтрами.

Таблица алертов

В таблице с алертами доступны:

  • Быстрая фильтрация по статусам: Все, Необработанные, В работе, На мне.

  • Настройка отображаемых полей таблицы.

  • Назначение алерта на исполнителя.

  • Закрытие алерта с выбором решения.

  • Возврат закрытого алерта в работу.

Боковая панель

Боковая панель:

  • Открывается при нажатии на строку в таблице алертов.

  • Содержит детальную информацию об алерте.

В боковой панели доступны вкладки со следующей информацией:

  • Общее — название, статус, исполнитель, решение, временные метки, информация по правилу и т.д.

  • Событие — сведения о сыром событии.

  • Дерево — графическое представление произошедшего события.

  • Накопленные данные — аккумулируемые данные по заданным полям события в агрегированных алертах.

  • Обогащения — дополнительные автоматизированные данные, полученные из внешних источников или внутренних систем анализа.

    Например: результаты автоматизированных проверок IP-адресов, доменов, хэшей файлов и других индикаторов, данные из баз угроз (threat intelligence) и др.

  • Похожие алерты — набор алертов с одинаковым правилом.

Рекомендации безопасности

В разделе Рекомендации безопасности отображается список направленных в систему событий, связанных с некорректной конфигурацией контролируемых систем, которые потенциально несут риск нарушения безопасности.

Раздел состоит из:

  • Панели навигации.

  • Таблицы рекомендаций.

  • Боковой панели.

Панель навигации

В панели навигации доступны:

  • Поиск рекомендаций.

  • Фильтрация по тегам или через конструктор фильтров.

  • Сортировка алертов.

  • Работа с сохраненными фильтрами.

Таблица рекомендаций

В таблице с рекомендациями доступны:

  • Быстрая фильтрация по статусам: Все, Необработанные, В работе, На мне.

  • Настройка отображаемых полей таблицы.

  • Назначение рекомендации на исполнителя.

  • Закрытие рекомендации с выбором решения.

  • Возврат закрытой рекомендации в работу.

Боковая панель

Боковая панель:

  • Открывается при нажатии на строку в таблице рекомендаций.

  • Содержит детальную информацию о рекомендации.

В боковой панели доступны вкладки со следующей информацией:

  • Общее — название, статус, исполнитель, решение, теги, временные метки, информация по правилу и т.д.

  • Событие — сведения о сыром событии.

  • Накопленные данные — данные по агрегации и хранения существенного объема данных, связанных с безопасностью, собранных за определенный период.