Настройка инцидентов (описание)

Раздел Инциденты предоставляет функциональность встроенной в UserGate SIEM системы IRP — платформы управления процессами реагирования на инциденты информационной безопасности. Инцидентом считается событие или набор событий информационной безопасности, которые подлежат расследованию. UserGate SIEM позволяет настроить процесс расследования инцидентов индивидуально под нужды конкретной компании.

Подробнее о функциональности системы IRP читайте в разделе Инциденты в Руководстве пользователя SIEM.

Настройки  инцидентов в интерфейсе CLI производятся на уровне incident.

Для создания собственной схемы расследования инцидентов необходимо:

1. Создать необходимые решения инцидентов.

2. Создать типы инцидентов.

3. Создать состояния инцидентов.

4. Создать схему инцидентов.

5. Активировать схему инцидентов.

Для создания решения инцидентов используется команда:

Admin@nodename# create incident resolutions name <incident-name> description <incident-description>

Для создания типов инцидентов используется команда:

Admin@nodename# create incident types name <incident-type-name> description <incident-type-description>

Для создания состояния инцидентов используется команда:

Admin@nodename# create incident states name <incident-state-name> description <incident-state-description> group <open|closed|progress>

Для создания схемы инцидентов используется команда:

Admin@nodename# create incident schema <parameters>

Для редактирования доступны следующие параметры схемы инцидентов:

Для всех этапов создания схемы инцидентов также доступны команды set (редактирование), show (просмотр) и delete (удаление).