Для просмотра всех уведомлений по правилу безопасности, выберите правило в списке и нажмите клавишу ENTER либо дважды щелкните по имени правила. В верхней части области просмотра откроется список инцидентов, вызвавших срабатывание данного правила.

Режим отображения уведомлений

Для выбора режима отображения уведомлений по выбранному правилу безопасности в меню Просмотр уведомлений выберите нужный режим либо выберите пункт Просмотр уведомлений в контекстном меню правила, доступном при нажатии правой клавиши мыши по имени правила.

Доступны следующие режимы отображения уведомлений:

• просмотр новых уведомлений (при выборе правила только ранее непросмотренные вновь созданные уведомления будут отображаться в области просмотра);
• просмотр уведомлений за сегодня (отображаются только случаи срабатывания правила за последний календарный день. Если в течение текущего дня срабатываний данного правила не зафиксировано, никаких уведомлений отображено не будет. При этом учитывается именно дата срабатывания правила безопасности, а не дата перехвата информации, которая вызвала срабатывание. Таким образом, например, при создании нового правила безопасности и установке опции применения правила ко всем проиндексированным данным (см. пункт Обычное поисковое правило), все уведомления по данному правилу будут датированы днем его создания):

• просмотр уведомлений за последнюю неделю
• просмотр последних 100 уведомлений
• просмотр последних 500 уведомлений
• просмотр всех уведомлений.

Расширенный просмотр

Для доступа к расширенным настройкам просмотра уведомлений в меню Просмотр уведомлений выберите Расширенный просмотр и следуйте рекомендациям текущего пункта.

Для просмотра уведомлений только за ограниченный промежуток времени:

1. Отметьте опцию Ограничение по дате.
2. Введите диапазон дат, за которые необходимо просматривать уведомления о срабатывании данного правила безопасности.
3. Выберите тип даты, которая будет учтена при ограничении:

• Для ограничения по дате перехвата отметьте Использовать дату перехвата документа.
• Для ограничения по дате сработки правила отметьте Использовать дату сработки правила безопасности.

Для ограничения количества отображаемых результатов в списке уведомлений о срабатывании выбранного правила и отметьте Ограничить максимальное количество результатов и введите требуемое значение в соответствующем поле ввода.

Для отображения в списке результатов только новых, непросмотренных уведомлений отметьте Отображать только непросмотренные уведомления.

Для фильтрации списка результатов по статусу, установленному офицером безопасности, отметьте опцию Использовать фильтрацию по статусу инцидента и отметьте типы статусов, уведомления с которыми будут отображаться в результатах.

В примере на рисунке выше настроен вывод уведомлений о срабатывании выбранного правила за период с 1 по 9 июля 2013 года и максимальное количество таких уведомлений ограничено 100 позициями. Таким образом, если за указанный период было более 100 случаев срабатывания данного правила, будут отображены только последние 100 из них. При этом отображаемые инциденты будут иметь статус Важное происшествие.  

Установка режима просмотра по умолчанию

Для установки режима просмотра, который будет использоваться по умолчанию в системе, выберите Выбор режима по умолчанию в меню Просмотр уведомлений и выберите режим из списка Режим просмотра уведомлений. Нажмите ОK для сохранения настроек.

Просмотр содержимого уведомления

В правой части окна управления центром расположена область просмотра уведомлений и их содержимого.

В верхней части области отображается список уведомлений по выбранному правилу безопасности, в нижней части отображается содержимое выбранного уведомления.

Для просмотра содержимого уведомления выберите его в списке уведомлений. Перехваченная по инциденту информация будет отображена в нижней части области предпросмотра.

Фильтрация списка уведомлений

На панели инструментов области просмотра уведомлений доступны опции фильтрации и отображения уведомлений.

Фильтрация может осуществляться по статусу расследования и степени важности инцидента, факту просмотра уведомления( - непросмотренные, -просмотренные); и области данных, к которой принадлежит инцидент.

По умолчанию отображаются все уведомления. Для фильтрации списка щелкните значок соответствующего фильтра на панели инструментов.

Обратите внимание, что в скобках для каждого фильтра указано количество инцидентов, соответствующих данному типу фильтра.

Статус инцидента

Статус инцидента отображается в виде иконки на панели уведомления в списке уведомлений.

Используйте рекомендации, приведенные далее, для изменения статуса инцидента.

• Для быстрого изменения статуса расследования инцидента щелкните по иконке статуса на панели уведомления. Для применения изменения статуса ко всем случаям срабатывания по инциденту, используйте сочетание щелчка мыши + SHIFT.
• Для того, чтобы выбрать статус расследования или важности инцидента из списка доступных, щелкните по иконке статуса правой кнопкой мыши и выберите нужный статус. Для быстрого изменения статуса инцидента во всех случаях срабатывания правил, нажмите и удерживайте клавишу SHIFT при выборе статуса в списке.

• Для того, чтобы быстро изменить статус, используйте горячие клавиши:

- инцидент не исследован - Ctrl +Alt+N;

- инцидент исследован - Ctrl +Alt+S;

- расследование инцидента отложено - Ctrl +Alt+P;

- важное происшествие - Ctrl +Alt+I;

- неважное происшествие - Ctrl +Alt+U;

- ложное срабатывание - Ctrl +Alt+F;

Выбор режима представления уведомлений

Для того, чтобы установить форму отображения уведомлений в списке, на панели инструментов окна просмотра уведомлений выберите Режим просмотра и отметьте один из доступных:

• в виде карточек (отображение карточек уведомлений, содержащих полную информацию о срабатывании правила: дата и время, локальный пользователь, название правила безопасности, а также дополнительную информацию в зависимости от типа перехваченных данных);
• в виде списка (отображение списка уведомлений с указанием названия правила безопасности, имени локального и удаленного пользователей, даты, времени и другой дополнительной информации).

Сортировка уведомлений

На панели инструментов окна просмотра можно выбрать один из режимов сортировки уведомлений, а также направление сортировки (по возрастанию или по убыванию).

Список результатов по статистическим правилам можно развернуть и свернуть, нажав на значок «+»/«-».

Доступен предварительный просмотр результатов. Для настройки панели предварительного просмотра выберите Вид на панели меню главного окна, выберите Панель просмотра документов – Центр обеспечения безопасности и укажите необходимый режим предварительного просмотра.

Дополнительно об операциях с результатами срабатывания правил безопасности см. 5 Просмотр результатов поиска.