- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с инцидентами
- 10.5 Редактирование информации о конкретном инциденте
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с инцидентами
- 10.5 Редактирование информации о конкретном инциденте
10.5 Редактирование информации о конкретном инциденте
Для того, чтобы отредактировать инцидент необходимо перейти на сущность «Карточка инцидента». Для этого в правой части рабочей области страницы «Инциденты» (рис. 28) следует нажать на название инцидента.
Система откроет новую страницу, где появится возможность внесения изменений (рис. 31).
Можно также перейти на сущность «Карточка инцидента» двойным нажатием на строку в таблице с перечнем инцидентов.
Следует обратить внимание, что скрывать и раскрывать блоки на странице «Карточка инцидента» необходимо с помощью элементов "⏶" и "⏷" соответственно.
Для изменения статуса инцидента нужно открыть раскрывающий список,
который находится рядом с названием инцидента, и выбрать нужный вариант. Показатели статуса: новый, в работе, закрыт, закрыт как ложноположительный.
Следует обратить внимание, что когда пользователь менять статус на «В работе», он автоматически назначается ответственным за данный инцидент. Для редактирования полей необходимо нажать на элемент "Редактировать" и все значения полей в блоке «Описание» станут доступны для изменения (рис. 32).
Следует обратить внимание, что в поле «Описание» есть ограничение в 60 символов, а в полях, содержащих IP-адреса, следует указывать данные в формате IPv4. В поле «Критичность» можно изменить уровень инцидента (высокий, средний, низкий), в «Техники» – выбрать техники MITRE ATT&CK, а в поле «Ответственный» выбрать ответственного пользователя. Для сохранения внесенных изменений нужно нажать на кнопку «Сохранить», а для отмены – «Отменить».
Через страницу «Карточка инцидента» доступны возможности:
- создания комментариев, в также просмотр их истории;
- просмотра связанного события, его отвязка от инцидента и переход на страницу «События» для его подробного изучения;
- просмотра связанного правила корреляции;
- удаления инцидента;
- просмотр истории инцидента.
Для того, чтобы вернуться на страницу «Инциденты» следует нажать на кнопку "Назад к инцидентам".
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с инцидентами
- 10.5 Редактирование информации о конкретном инциденте
- Главная страница
- Разработка ПО
- О NTechnology
- База знаний
- NTechnology SIEM
- 10. Работа с инцидентами
- 10.5 Редактирование информации о конкретном инциденте
10.5 Редактирование информации о конкретном инциденте
Для того, чтобы отредактировать инцидент необходимо перейти на сущность «Карточка инцидента». Для этого в правой части рабочей области страницы «Инциденты» (рис. 28) следует нажать на название инцидента.
Система откроет новую страницу, где появится возможность внесения изменений (рис. 31).
Можно также перейти на сущность «Карточка инцидента» двойным нажатием на строку в таблице с перечнем инцидентов.
Следует обратить внимание, что скрывать и раскрывать блоки на странице «Карточка инцидента» необходимо с помощью элементов "⏶" и "⏷" соответственно.
Для изменения статуса инцидента нужно открыть раскрывающий список,
который находится рядом с названием инцидента, и выбрать нужный вариант. Показатели статуса: новый, в работе, закрыт, закрыт как ложноположительный.
Следует обратить внимание, что когда пользователь менять статус на «В работе», он автоматически назначается ответственным за данный инцидент. Для редактирования полей необходимо нажать на элемент "Редактировать" и все значения полей в блоке «Описание» станут доступны для изменения (рис. 32).
Следует обратить внимание, что в поле «Описание» есть ограничение в 60 символов, а в полях, содержащих IP-адреса, следует указывать данные в формате IPv4. В поле «Критичность» можно изменить уровень инцидента (высокий, средний, низкий), в «Техники» – выбрать техники MITRE ATT&CK, а в поле «Ответственный» выбрать ответственного пользователя. Для сохранения внесенных изменений нужно нажать на кнопку «Сохранить», а для отмены – «Отменить».
Через страницу «Карточка инцидента» доступны возможности:
- создания комментариев, в также просмотр их истории;
- просмотра связанного события, его отвязка от инцидента и переход на страницу «События» для его подробного изучения;
- просмотра связанного правила корреляции;
- удаления инцидента;
- просмотр истории инцидента.