Skip to main content
Loading...

Управление инцидентами присутствует только в коммерческих версиях RuSIEM.

Управление инцидентами в RuSIEM построено по стандарту ITIL. Инциденты формируются автоматически в результате срабатывания правил корреляции.

Работа с инцидентами осуществляется через веб интерфейс.

В инциденте указывается вся необходимая информация.

Статусы инцидента выставляются пользователем. Изначальные статусы при формировании инцидента - "Назначен", "Переоткрыт".

События от инцидентов гальванически развязаны, так как сроки хранения инцидентов и событий могут различаться. При формировании инцидента из событий извлекаются ключи и значения полей и из них формируются метаданные. Однако, по любому полю можно перейти к событиям по инциденту.

В инцидентах возможно назначать задачи другим сотрудникам, контролировать их выполнение.

Параметры инцидента, такие как название, приоритет, кому будет назначен инцидент - индивидуальны для каждого правила корреляции. Инцидент одновременно может быть назначен на несколько пользователей и групп.

Инциденты имеют "область видимости" - инцидент виден только тем пользователям, на которых он назначен (или пользователь входит в группы, на которые назначен инцидент).

Пользователю может быть предоставлено права на инцидент если поставить задачу внутри инцидента на этого пользователя или группу, в которую он входит.

Область видимости также изменяется при эскалации инцидента. При этом, если инцидент эскалирован на других пользователей и группы, то предыдущие исполнители перестают его видеть.

Пока инцидент открыт, в работе, назначен - новые инциденты по этому же правилу корреляции и объекту не создаются, предотвращая дублирование, а дописываются к уже имеющемуся инциденту.

Если инцидент закрыт и повторяется повторно - он автоматически открывается и устанавливается статус "Переоткрыт".

При возникновении инцидента пользователь уведомляется всплывающим сообщением в правом верхнем углу экрана. По клику на уведомлении в новом окне браузера открывается карточка инцидента. Количество всплывающих уведомлений ограничено пятью одновременными уведомлениями.

Из инцидента можно посмотреть правило корреляции, по которому он был сформирован.

История статусов инцидента доступна для просмотра из инцидента. В ней указываются смены статусов, кем изменялись и когда.

Удалить инцидент для сокрытия нельзя. Возможно только закрыть инцидент и он останется, будет отображаться в закрытых инцидентах с указанием кто, когда и с каким решением его закрыл.

Для массовых ошибок все же существует кнопка удаления всех инцидентов (в том числе открытых и закрытых для всех пользователей), доступная только для администратора системы.

Имеются массовые операции для легитимного закрытия множества выделенных инцидентов.