Эта статья обсуждает, как использовать инструменты в Рабочей области Историй для управления расследованиями историй.
Более подробную информацию о Рабочей области Историй смотрите в разделе Обзор историй Обнаружения & Реакции XOps в Рабочей области Историй.
Страница подробностей Рабочей области Историй предоставляет инструменты, которые помогают вашей команде аналитиков отслеживать и управлять расследованием историй на протяжении всего жизненного цикла истории. Вы можете выполнять различные действия для управления и фиксации результатов расследования истории, например, определять вердикт для истории или устанавливать статус как закрытый. Вы также можете размещать комментарии к истории, чтобы подробно описать ход расследования и содействовать сотрудничеству с другими членами команды. Страница также позволяет создать правило Отключение Историй на случай, если вы определите, что история безвредна, и хотите, чтобы механизмы XOps прекратили генерировать истории для подобных инцидентов.
Примечание
Примечание: Для клиентов MDR, пожалуйста, свяжитесь с <mdr@catonetworks.com>, чтобы определить правила Отключения Историй для вашего аккаунта.
-
Действия с историями и комментарии доступны для клиентов XOps. Клиенты MDR не могут выполнять действия или оставлять комментарии.
-
Пользователи с разрешениями на редактирование могут выполнять действия с историями и оставлять комментарии. Пользователи с разрешениями на просмотр могут просматривать комментарии.
Панель Действия с историей позволяет выполнять различные действия для управления историей. Вот действия, которые вы можете выполнить:
-
Установить Вердикт Аналитика — определить историю как Подозрительную, Вредоносную, Информационную или Безвредную
-
Когда вы устанавливаете вердикт на Подозрительный, Информационный или Безвредный, вы также можете определить:
-
Тип — выбрать конкретный тип угрозы из выпадающего списка
При выборе Типа отображаются детали о типе и рекомендуемых действиях
-
Классификация — выбрать более подробное описание угрозы из выпадающего списка. Раздел Классификация появляется только после выбора Типа
-
-
Когда вы устанавливаете вердикт на Вредоносный, вы можете также определить:
-
Серьезность истории. Возможные значения: Высокий, Средний и Низкий.
-
Тип — раздел Тип появляется только после выбора Серьезности.
-
Классификация — раздел Классификация появляется только после выбора Типа.
-
-
-
Введите Дополнительную информацию — добавить информацию, относящуюся к истории
-
Установить Статус истории — возможные значения: Закрыто, Открыто, Ожидает анализа (например, когда история ожидает внимания аналитика) и Ожидает дополнительной информации (например, когда история ожидает ответ от клиента)
-
Добавить историю в новое правило Отключенных Историй. Более подробную информацию об отключении историй смотрите в разделе Отключение историй XOps.
Используйте панель Комментарии к истории, чтобы оставлять комментарии, которые помогают отслеживать расследование истории. Когда вы размещаете комментарий, он виден всем пользователям, имеющим разрешение на просмотр истории. Кроме того, некоторые комментарии создаются автоматически системой, чтобы помочь отслеживать значительные изменения в жизненном цикле истории, например, когда история создается или когда идентифицируются новые цели, связанные с историей.
Вы можете удалить комментарий, который вы разместили, но не можете удалить другие комментарии. Комментарии не могут быть отредактированы. В комментарии можно вводить только текст.
Количество размещенных комментариев для истории отображается на кнопке Комментарии на странице подробностей истории.
-
Комментарии ограничены 500 символами
-
Одна история не может содержать более 200 комментариев
0 комментариев
Статья закрыта для комментариев.