Журнал инцидентов

Создан

date

Дата и время создания инцидента.

Изменён

updateDate

Дата и время последнего изменения.

Индекс

incidentPrefix

Префикс инцидента (INC-N, где N — порядковый номер инцидента; нумерация начинается с 0).

Имя

incidentName

Название инцидента.

Правило

rule

Название правила аналитики, в результате срабатывания которого автоматически был создан инцидент, т.е. при настройке правила аналитики было задано действие реагирования Создать инцидент.

Статус

status

Статус инцидента.

Существует 3 группы состояний, которые определяют положение данного состояние в схеме состояний:

• Открыто — данная группа назначается состояниям инцидентов, по которым еще не начата работа или она приостановлена. Как правило, это начальные состояния инцидентов, например Создан. Все состояния данной группы помечаются синим цветом в веб-консоли.

• В работе — данная группа назначается состояниям инцидентов, по которым ведется, но еще не завершена работа. Это промежуточные состояния инцидентов, например, В работе, Расследование. Все состояния данной группы помечаются желтым цветом в веб-консоли.

• Закрыто — данная группа назначается состояниям инцидентов, по которым завершена работа. Это конечные состояния инцидентов, например, Завершено, Закрыто. При переходе в состояние этой группы необходимо обязательно указать решение инцидента, например, Ложная атака, Подтвержденная атака, Выполнено. Все состояния данной группы помечаются зеленым цветом в веб-консоли.

По умолчанию в UserGate создана схема Incident, которая содержит переходы между всеми состояниями. Схемы инцидентов можно добавить в разделе Настройки ➜ Настройка инцидентов ➜ Схема инцидентов.

Дополнительные состояния инцидентов можно задать во вкладке Настройки ➜ Настройка инцидентов ➜ Состояния инцидентов. Подробнее читайте в разделе Настройки инцидентов.

Решение

resolution

Решение инцидента. По умолчанию созданы:

• False positive: ложная атака.

• True positive: подтверждённая атака.

• Duplicate: проблема повторяет другую проблему.

• Won’t do: задача не выполнима.

• Done: проблема решена.

Дополнительные решения инцидентов можно создать во вкладке Настройки ➜ Настройка инцидентов ➜ Решения инцидентов. Подробнее читайте в разделе Настройки инцидентов.

Тип

type

Тип инцидента. По умолчанию доступны 2 типа: инцидент безопасности и задача. Дополнительно типы инцидентов можно создать в разделе Настройки ➜ Настройка инцидентов ➜ Типы инцидентов. Подробнее читайте в разделе Настройки инцидентов.

Приоритет

priority

Приоритет инцидента:

• Низкий.

• Нормальный.

• Важный.

• Критический.

Инициатор

reporter

Имя администратора, который создал инцидент.

Последнее изменение

lastChangeBy

Имя администратора, который внёс последнее изменение.

Назначен

assignee

Имя администратора, назначенного на инцидент.

Активность

Количество комментариев, срабатываний правил аналитики и журналов событий, добавленных в инцидент.