- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с инцидентами
- 10.4 Отображение информации о конкретном инциденте, просмотр истории инцидента, комментарии
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с инцидентами
- 10.4 Отображение информации о конкретном инциденте, просмотр истории инцидента, комментарии
10.4 Отображение информации о конкретном инциденте, просмотр истории инцидента, комментарии
Для отображения полной информации в правой части рабочей области нужно выбрать инцидент в таблице (рис.28) и раскрыть модальное окно, нажав элемент "<".
Для просмотра комментариев следует нажать на "⮟" и раскроется список со всеми комментариями, а для того, чтобы скрыть нажать на "⮝". Для того, чтобы оставить комментарий, необходимо в окне для ввода комментария ввести текст и нажать на "⮚". Доступное количество символов для ввода – 1500.
Информация о инциденте в правой части рабочей области разделена по полям (например, Наименование), при нажатии на значение которых появляется выбор оператора (OR, AND или NOT), который, соответственно, будет добавлен в поисковую строку для быстрой навигации по инцидентам. А поля «Событие» и «Правило корреляции» используются для перехода к дополнительной информации.
Для просмотра информации о событии следует нажать на кнопку идентификатора события вида:
после чего появится модальное окно (рис.29) с подробной информацией о событии, где все поля разделены на категории.
Можно также скопировать full_log (событие), для чего надо навести на значение поля и нажать на элемент:
В случае успешности, система уведомит пользователя и данный элемент изменится на:
Для того, чтобы закрыть окно с информацией о событии следует нажать на или вне области модального окна.
При нажатии на кнопку:
произойдет переход на страницу «События» и фильтр в соответствии с id события.
Также можно удалить связь выбранного события с инцидентом, нажав на кнопку:
Для просмотра информации о правиле корреляции необходимо нажать на кнопку идентификатора правила вида:
Появится модальное окно с возможностью просмотра текста правила. Если на момент просмотра правило отсутствует в системе, модальное окно не будет содержать текст, а вместо этого появится соответствующее уведомление.
Для того, чтобы просмотреть историю изменения инцидента, необходимо выбрать элемент в таблице и нажать на кнопку "Журнал". Далее появится боковое модальное окно, в котором можно раскрыть подробную информацию о выбранном состоянии инцидента (рис.30), при этом элемент "⏷"изменится на "⏶".
Вернуться на страницу «Инциденты» можно при нажатии "←" или по нажатию вне модального окна.
Следует обратить внимание, что поля, значение которых было изменено, будут выделены цветом, как показано на рис.30.
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с инцидентами
- 10.4 Отображение информации о конкретном инциденте, просмотр истории инцидента, комментарии
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с инцидентами
- 10.4 Отображение информации о конкретном инциденте, просмотр истории инцидента, комментарии
10.4 Отображение информации о конкретном инциденте, просмотр истории инцидента, комментарии
Для отображения полной информации в правой части рабочей области нужно выбрать инцидент в таблице (рис.28) и раскрыть модальное окно, нажав элемент "<".
Для просмотра комментариев следует нажать на "⮟" и раскроется список со всеми комментариями, а для того, чтобы скрыть нажать на "⮝". Для того, чтобы оставить комментарий, необходимо в окне для ввода комментария ввести текст и нажать на "⮚". Доступное количество символов для ввода – 1500.
Информация о инциденте в правой части рабочей области разделена по полям (например, Наименование), при нажатии на значение которых появляется выбор оператора (OR, AND или NOT), который, соответственно, будет добавлен в поисковую строку для быстрой навигации по инцидентам. А поля «Событие» и «Правило корреляции» используются для перехода к дополнительной информации.
Для просмотра информации о событии следует нажать на кнопку идентификатора события вида:
после чего появится модальное окно (рис.29) с подробной информацией о событии, где все поля разделены на категории.
Можно также скопировать full_log (событие), для чего надо навести на значение поля и нажать на элемент:
В случае успешности, система уведомит пользователя и данный элемент изменится на:
Для того, чтобы закрыть окно с информацией о событии следует нажать на или вне области модального окна.
При нажатии на кнопку:
произойдет переход на страницу «События» и фильтр в соответствии с id события.
Также можно удалить связь выбранного события с инцидентом, нажав на кнопку:
Для просмотра информации о правиле корреляции необходимо нажать на кнопку идентификатора правила вида:
Появится модальное окно с возможностью просмотра текста правила. Если на момент просмотра правило отсутствует в системе, модальное окно не будет содержать текст, а вместо этого появится соответствующее уведомление.
Для того, чтобы просмотреть историю изменения инцидента, необходимо выбрать элемент в таблице и нажать на кнопку "Журнал". Далее появится боковое модальное окно, в котором можно раскрыть подробную информацию о выбранном состоянии инцидента (рис.30), при этом элемент "⏷"изменится на "⏶".
Вернуться на страницу «Инциденты» можно при нажатии "←" или по нажатию вне модального окна.