Una gestione efficace degli incidenti richiede un'interfaccia chiara e strutturata che consenta ai team SOC di identificare, indagare e porre rimedio rapidamente alle minacce. List View fornisce una panoramica consolidata degli incidenti e degli avvisi, mentre Riepilogo dell'incidente il riquadro offre dettagliled Informazioni e opzioni operative per ogni incidente. Questo documento descrive i campi, i filtri e le azioni disponibili agli utenti per gestire gli incidenti in modo efficiente.
List View
Scorrere l'elenco per visualizzare gli avvisi generati in precedenza. Facendo clic su un nome host si apre la finestra Visualizzazione dispositivo per quell'avviso.
Campi di incidente
| Settore | Description |
|---|---|
| ID INCIDENTE | Visualizza l'identificatore univoco dell'incidente. |
| NOME DELL'INCIDENTE | Mostra il nome dell'incidente. Puoi copiare il nome utilizzando l'icona di copia. |
| TIPO | Visualizza il tipo di incidente. |
| GRAVITÀ | Visualizza la gravità: Critica, Alta, Media, Bassa. |
| PRIORITÀ | Visualizza la priorità: Critica, Alta, Media, Bassa. |
| STATUS | Visualizza lo stato: Nuovo, Indagine, Rimedio, Chiuso. |
| NUMERO DI AVVISI | Visualizza il numero di avvisi associati all'incidente. |
| CREATO IL | Visualizza la data e l'ora in cui è stato creato l'incidente. Ordinabile. |
| ASSEGNATO A | Visualizza il nome dell'assegnatario. |
Campi di avviso
| Settore | Description |
|---|---|
| NOME DELL'ALLERTA | Visualizza il nome dell'avviso. |
| TIPO DI AVVISO | Visualizza il tipo di avviso: personalizzato, avvisi associati, avvisi non associati. |
| FONTE | Visualizza l'origine dell'avviso. |
| GRAVITÀ | Visualizza la gravità: Alta, Media, Bassa, Base. |
| TATTICHE | Visualizza le tattiche associate all'avviso. |
| CREATO IL | Visualizza la data e l'ora di creazione dell'avviso. Ordinabile. |
Opzioni di visualizzazione
È possibile visualizzare gli incidenti in base alle fasce orarie:
- Orario per orario: Ultima ora, Ultime 24 ore
- Di giorno: Ultimi 7 giorni, Ultimi 15 giorni, Ultimi 30 giorni
- Custom: Selezionare Data di inizio e Data di fine utilizzando il controllo del calendario, quindi fare clic su Salva
I miei incidenti
Clicchi I miei incidenti per visualizzare solo gli incidenti assegnati a te (utente registrato).
Filtra
Applica filtri per restringere i risultati della ricerca. Puoi filtrare per:
- Gravità
- Stato
- Dettagli dell'avviso (nome del processo, nome host, assegnatario, tattiche)
Vedi Dettagli
Clicchi Vedi Dettagli per andare alla pagina Avvisi.
Riepilogo dell'incidente
Cliccando su una riga qualsiasi, nel riquadro di destra viene visualizzato il riepilogo dell'incidente. Le azioni disponibili includono:
- Visualizza il rapporto di controllo – Dettagli di accessoled relazioni di revisione contabile.
- Aggiungi note – Aggiungi note all’incidente, visibili nel Note e allegati .
- Carica documenti – Caricare i documenti di supporto durante l'aggiornamento dello stato dell'incidente.
Basic Informazioni
| Settore | Description |
|---|---|
| ID incidente | Visualizza l'ID dell'incidente. Copiabile tramite icona. |
| Nome dell'incidente | Visualizza il nome dell'incidente. Modificabile tramite icona. |
| Tipo di incidente | Tipo di visualizzazione: Sconosciuto, Phishing, Malware, MITM, Minaccia interna, Escalation dei privilegi, Attacco alle applicazioni Web, Rilevamento anomalie, APT. Modificabile tramite icona. |
| Creato | Visualizza la data e l'ora di creazione. |
| Si è verificato il | Visualizza l'endpoint in cui si è verificato l'incidente. |
| Ultimo aggiornamento attivo | Visualizza l'ultimo timestamp di aggiornamento. |
| Numero di avvisi | Visualizza il numero di avvisi collegati all'incidente. |
| Vedi Dettagli | Reindirizza alla pagina Avvisi. |
| Playbook | Visualizza il playbook predefinito associato all'incidente. |
| Visualizza l'output del Playbook | Apre la finestra di output del playbook. |
Riepilogo della risposta
| Settore | Description |
|---|---|
| Gravità | Visualizza la gravità: Alta, Media, Bassa, Base. |
| Priorità | Visualizza la priorità: Critica, Alta, Media, Bassa. Modificabile tramite icona. |
| Assegnato a | Visualizza il nome dell'assegnatario. |
| Stato | Visualizza lo stato: Nuovo, Indagine, Rimedio, Chiuso. Mostra anche la tempestività della risposta (Puntuale, In ritardo, Chiuso). Modificabile tramite icona. Consente il caricamento di documenti. Nota: Massimo 5 file per incidente, ciascuno ≤ 1 MB. Formati supportati: .xlsx, .pdf, .docx, .jpeg, .jpg, .png. |
Description e analisi
- Description – Incidente modificabile description.
Note e allegati
- Note – Visualizza le note con autore e data e ora. Aggiungi note tramite Aggiungi nota icona. Carica anche i documenti qui.
Nota: Massimo 5 file per incidente, ciascuno ≤ 1 MB. Formati supportati: .xlsx, .pdf, .docx, .jpeg, .jpg, .png.
Endpoint e utenti
- Punti finali (#) – Visualizza i nomi host degli endpoint. I playbook possono essere eseguiti tramite ell verticaleipses.
- Utenti (#) – Visualizza gli utenti associati. I playbook possono essere eseguiti tramite ell verticaleipses.
Attributi chiave
- Processo, Registro, File, Rete – Ogni visualizzazione mostra conteggio, valore, reputazione e avvisi associati. I playbook possono essere eseguiti tramite ell verticaleipses.
Pulsanti di azione
- Azioni del Playbook – Eseguire playbook.
- Visualizza l'output del Playbook – Visualizza i dettagli di esecuzione del playbook.
Aggiungi nota
- Clicca su Aggiungi nota icona (angolo in alto a destra).
- Inserisci la nota nel Note: campo.
- Clicchi Salva.
- Viene visualizzato un messaggio di conferma.
Le note sono visibili nel Note sezione del Riepilogo dell'incidente.
Azioni del Playbook
- Azioni del Playbook – Apre un elenco di playbook.
- Visualizza l'output del Playbook – Visualizza i risultati del playbook.
Esecuzione di un playbook
- Clicchi Azioni del Playbook.
- Seleziona un playbook e fai clic su Correre icona.
- Fornire le informazioni richieste.
- Clicchi Eseguire.
- Il playbook viene eseguito e vengono visualizzati i risultati.
Pianificazione dei report sugli incidenti
Nota: Solo gli utenti con Super Admin, Adminoppure i privilegi di SOC Manager possono pianificare i report sugli incidenti.
Per pianificare i report, seguire le istruzioni Qui..