+375 (17) 311-10-14
+375 (17) 311-10-14
Prueba gratis
Prueba gratis
+375 (17) 311-10-14
Guía del usuario

Просмотр инцидентов в окне модуля Политики безопасности

Для просмотра инцидентов правила безопасности выберите правило в списке и нажмите клавишу ENTER или дважды щелкните по имени правила. В области просмотра откроется список инцидентов, вызвавших срабатывание данного правила.

Примечание

По умолчанию будет отображен список всех не просмотренных инцидентов. Изменить параметры отображения по умолчанию можно через контекстное меню любого правила безопасности (см. ниже).

Режим отображения инцидентов

Для выбора режима отображения инцидентов правила безопасности вызовите контекстное меню, выберите Просмотр инцидентов, а затем нужный режим отображения.

Доступны следующие режимы отображения инцидентов:

  • просмотр новых инцидентов – при выборе правила в области просмотра будут отображаться только не просмотренные инциденты;
  • просмотр инцидентов за сегодня – отображаются только случаи срабатывания правила за последний календарный день. При отсутствии таковых список будет пустым. Обратите внимание, что учитывается дата срабатывания правила безопасности, а не дата перехвата информации, которая вызвала срабатывание. Таким образом, для вновь созданного правила с включенной опцией Применить данное правило ко всем проиндексированным данным все инциденты по правилу будут датированы днем его создания.
  • Просмотр инцидентов за предыдущий день;
  • просмотр инцидентов за последнюю неделю;
  • просмотр последних 100 инцидентов;
  • просмотр последних 500 инцидентов;
  • просмотр всех инцидентов.

Расширенный просмотр

Для доступа к расширенным настройкам просмотра инцидентов в меню Просмотр инцидентов выберите Параметры расширенного просмотра инцидентов и следуйте рекомендациям текущего пункта.

Для просмотра инцидентов с учетом фильтров:

  1. В блоке Основные параметры:
  • Для отображения в списке результатов только новых, непросмотренных инцидентов переведите переключатель Отобразить только непросмотренные инциденты в положение Вкл.
  • Для ограничения количества отображаемых результатов в списке инцидентов выбранного правила переведите переключатель Ограничить число результатов в положение Вкл и введите требуемое значение в числовое поле.
  1. В блоке Дополнительные параметры:
  • Для настройки фильтрации по дате переведите переключатель Учитывать дату в положение Вкл.
  • с помощью встроенного календаря выберите период для отображения.
  • Для настройки времени фиксации инцидентов переведите переключатель Учитывать время в положение Вкл.
  • Выберите требуемый временной диапазон.
  • Выберите Использовать дату и время перехвата документа для учета фактического времени перехвата вместо времени срабатывания. В этом случае будут отображаться документы, перехваченные в выбранный диапазон времени и дат. Если правило сработало позже указанного времени/дат, но документ был перехвачен в указанном диапазоне, он попадет в список результатов, если в указанный диапазон попадает только дата срабатывания, но документ был перехвачен ранее, он отображаться не будет.
  • Выберите Использовать дату и время сработки правила безопасности для учета времени срабатывания правила при генерировании списка результатов. В этом случае в список результатов могут не попасть документы, перехваченные и проиндексированные до создания правила безопасности.
  • Для фильтрации списка инцидентов по статусу, установленному офицером безопасности, переведите выключатель Учитывать статус инцидента в положение Вкл и отметьте типы статусов для отображения.
  • Для просмотра инцидентов с учетом цветовой категории, присвоенной инциденту офицером безопасности, переведите выключатель Учитывать категорию инцидента и отметьте требуемые цветовые категории.

К условиям выбора применяется логический оператор «И».

Для последующего просмотра инцидентов с учетом настроенных параметров отметьте опцию Сделать режимом просмотра по умолчанию.

В примере на скриншоте настроен вывод непросмотренных инцидентов, вызвавших срабатывание выбранного правила безопасности в течение последних 7 дней в диапазоне времени с 9 до 18 часов, максимальное количество таких уведомлений ограничено 500 позициями. Таким образом, если на указанную дату было более 500 случаев срабатывания данного правила, то будут отображены только последние 500 из них. При этом в списке результатов не будут отображаться инциденты со статусом отличным от Инцидент не исследован. Цветовая категория в этом случае учитываться не будет. Впоследствии описанные параметры будут использованы в качестве параметров по умолчанию (выбрана опция Сделать режимом просмотра по умолчанию).

Установка режима просмотра по умолчанию

Для установки режима просмотра, который будет использоваться по умолчанию в системе:

  1. Выберите Просмотр инцидентов > Выбор режима просмотра по умолчанию.
  1. В открывшемся окне Выбор режима просмотра инцидентов по умолчанию выберите требуемый режим из раскрывающегося списка.

Просмотр инцидентов

При просмотре инцидентов в средней области окна отображаются инциденты, вызвавшие срабатывание правила безопасности, а в правой области окна—их содержимое. Для удобства просмотра границу между ними можно передвигать мышью.

Область просмотра инцидентов можно скрыть, используя функцию Скрыть область просмотра в меню кнопки настроек.

Выбор режима представления инцидентов

Для изменения формы отображения инцидентов выберите один из доступных режимов на панели инструментов:

  • в виде карточек (отображение карточек инцидентов, содержащих полную информацию о срабатывании правила: дата и время, локальный пользователь, название правила безопасности, а также дополнительную информацию в зависимости от типа перехваченных данных);
  • в виде списка (отображение списка инцидентов с указанием названия правила безопасности, имени локального и удаленного пользователей, даты, времени и другой дополнительной информации).

Сортировка инцидентов

На панели инструментов окна просмотра можно выбрать один из режимов сортировки инцидентов, а также направление сортировки (по возрастанию или по убыванию).

Фильтрация списка инцидентов

На панели инструментов области просмотра инцидентов доступны фильтры и настройки отображения инцидентов.

Фильтрация может осуществляться по области данных инцидента (почта, мессенджеры, web, прочее), статусу инцидента (исследован, не исследован, расследование инцидента отложено, важное происшествие, неважное происшествие, ложное срабатывание), факту просмотра инцидента ( - непросмотренные,  - просмотренные), цветовой категории инцидентов.

По умолчанию отображаются все инциденты. Цифры рядом с иконками фильтров показывают количество соответствующих инцидентов. Щелчком указателя мыши по иконке выбранные фильтры могут быть отключены, а отображаемый список инцидентов уменьшен в соответствие с требованиями.

Статус инцидента

Статус инцидента отображается в виде иконки на панели уведомления.

Если инцидент вызвал срабатывание нескольких правил безопасности, при попытке изменения статуса будет открыто окно Изменение статуса инцидента. Вы можете установить статус только для текущего инцидента или применить статус ко всем инцидентам правила.

Для быстрого изменения статуса щелкните левой кнопкой мыши по иконке статуса на панели уведомления. Для применения статуса во всех случаях срабатывания правила одновременно удерживайте клавишу SHIFT.

Для выбора статуса из списка доступных, щелкните по иконке статуса правой кнопкой мыши и выберите нужный статус. Для быстрого изменения статуса инцидентов во всех случаях срабатывания правила одновременно удерживайте клавишу SHIFT.

Для изменения статуса можно использовать следующие горячие клавиши:

 - инцидент не исследован - Ctrl +Alt+N;

 - инцидент исследован - Ctrl +Alt+S;

 - расследование инцидента отложено - Ctrl +Alt+P;

 - важное происшествие - Ctrl +Alt+I;

 - неважное происшествие - Ctrl +Alt+U;

 - ложное срабатывание - Ctrl +Alt+F.

Присвоение или изменение цветовой категории

В списке результатов инцидентам можно присваивать (изменять) цветовую категорию из контекстного меню, вызываемого нажатием правой клавиши мыши при выделении требуемого(ых) инцидента(ов).

Примечание:

Управление цветовыми категориями с помощью Менеджера категорий описано в параграфе Менеджер категорий.

Для присвоения цветовой категории одному или нескольким инцидентам:

  1. Выделите требуемые инциденты и нажатием правой кнопки мыши вызовите контекстное меню.
  2. Из раскрывающегося списка выберите Выбрать категорию инцидента и выделите желаемую категорию.
Примечание.

Для одновременного выбора нескольких инцидентов нажмите и удерживайте клавишу Shift, левой клавишей мыши или клавишей Ctrl выделите требуемые инциденты.

Присвоенные цветовые категории в зависимости от режима отображения инцидентов (таблица или карточки) отображаются в виде иконки соответствующего цвета

или окрашенной в соответствующий цвет боковой области карточки.

Изменение категории выполняется аналогичным образом. Обратите внимание, что если в результате инцидента сработало несколько правил безопасности, при попытке изменения категории откроется модальное окно с соответствующей информацией, после чего можно будет применить категорию по отношению ко всем правилам или только к текущему.

Для редактирования существующих категорий:

  • нажмите кнопку настроек, выберите Менеджер категорий, нажмите кнопку настроек и в открывшемся окне Настройка категории инцидента отредактируйте категорию.
  • выберите инцидент из списка, вызовите контекстное меню, выберите Выбрать категорию инцидента Менеджер категорий, отредактируйте категорию.

Инциденты статистических правил

Список результатов для инцидента статистического правила безопасности можно развернуть и свернуть, нажав на кнопку-экспандер.

Дополнительно об операциях с результатами срабатывания правил безопасности см. Просмотр результатов поиска.

Примечание:

Статистические правила, связанные с учетом количества файлов в коллекциях FTP, Файлы с устройств, Сетевые ресурсы, Облачные хранилища, Web-файлы, отображают в инцидентах не сами файлы, а документы аудита, в которых отражено количество файлов, подходящих под условия политики безопасности. При этом такие файлы не будут отмечены значком сработавшего инцидента в результатах поиска.

Добавление, просмотр, редактирование и удаление комментариев к инцидентам

В системе SecureTower реализована возможность добавлять к инциденту новые текстовые комментарии, а также просматривать, редактировать и удалять существующие.

Для добавления комментария:

  1. В списке уведомлений окна модуля Политики безопасности выделите требуемое уведомление.
  2. Нажатием правой кнопки мыши вызовите контекстное меню и выберите Добавить комментарий.
  1. В поле ввода открывшегося окна Добавить комментарий укажите желаемую информацию и нажмите ОК.

В режиме списка на соответствующем уведомлении появится иконка , при наведении на иконку появится всплывающая подсказка с текстом комментария, именем автора комментария, датой и временем добавления комментария; в режиме карточек эта информация будет отображаться на карточке инцидента.

Для просмотра комментария:

  1. Выделите инцидент, содержащий требуемый комментарий, и нажатием правой кнопки мыши вызовите контекстное меню.
  2. Выберите Просмотреть комментарий, в открывшемся окне просмотра отобразится полный текст комментария.
Примечание:

Функция просмотра может потребоваться для длинных комментариев: на карточке и всплывающей подсказке отображаются только первые две строки текста комментария.

Для редактирования комментария:

  1. Выделите уведомление, содержащее требуемый комментарий, и нажатием правой кнопкой мыши вызовите контекстное меню.
  2. Выберите Редактировать комментарий, в окне редактирования внесите требуемые изменения и подтвердите нажатием ОК.
Примечание:

Если в результате инцидента сработало несколько правил безопасности, при попытке изменения комментария откроется модальное окно с соответствующей информацией, после чего можно будет применить комментарий по отношению ко всем правилам или только к текущему.

Для удаления комментария:

  1. Выделите инцидент, содержащий требуемый комментарий, и нажатием правой кнопкой мыши вызовите контекстное меню.
  2. Выберите Удалить комментарий, в появившемся окне подтверждения удаления выберите Да.

Экспорт инцидентов

Список инцидентов, в результате которых сработали правила безопасности, может быть сохранен во внешний файл формата PDF или XLSX.

Выберите в списке меню кнопки настроек команду Экспорт списка результатов.

Для выбора пути сохранения, имени и формата файла нажмите кнопку обзора, отредактируйте параметры и подтвердите выбор нажатием кнопки Сохранить.

Отметьте графические опции сохраняемого отчета и нажмите кнопку Экспорт.

Сохранение содержимого инцидентов

Для сохранения содержимого всех перехваченных данных в рамках сработавшего правила безопасности в формате RTF нажмите кнопку настроек и выберите Сохранить все результаты.

Для выбора пути сохранения нажмите кнопку обзора, отредактируйте название файла и путь сохранения и подтвердите выбор нажатием кнопки ОК.

Настройте параметры просмотрщиков в соответствии с типом сохраняемых документов и нажмите кнопку Сохранить.

Удаление инцидентов

Для удаления инцидентов правила безопасности:

  1. Щелкните правой кнопкой мыши по имени правила и в контекстном меню выберите Удаление инцидентов > Параметры удаления инцидентов.
  1. В открывшемся окне Параметры удаления инцидентов выберите один из доступных вариантов удаления инцидентов:
  • Удалить все инциденты;
  • Удалить инциденты старше … дней (будут сохранены последние инциденты за указанное количество дней);
  • Удалить инциденты за исключением последних ... (будет сохранено указанное количество последних инцидентов).
  • Удалить все инциденты до указанной даты (будут сохранены инциденты, начиная с указанного дня);
  1. Для более точного выбора инцидентов, подлежащих удалению, перейдите в блок Дополнительные параметры:
  • для фильтрации инцидентов с учетом статуса активируйте опцию Учитывать статус инцидента и выберите нужные статусы.
  • для фильтрации инцидентов с учетом цветовой категории активируйте опцию Учитывать категорию инцидента и выберите нужные категории.

К условиям выбора будет применен логический оператор «И».

Нажмите ОК.

Для одновременного удаления всех инцидентов правила выберите Удалить все инциденты.