Работа с оповещениями

Данный раздел описывает процесс работы с оповещениями в системе R-Vision SIEM. Работа осуществляется в разделе Оповещения веб-интерфейса системы.

Раздел доступен администраторам, пользователям, которые имеют соответствующее разрешение в составе своих ролей, а также учетным записям со статусом Суперадминистратор.

Об оповещениях

Оповещения генерируются на основе логики правил сегментации, которые классифицируют и обрабатывают корреляционные события для последующего создания оповещений на их основе. Правила сегментации применяются к потоку событий в рамках сервиса оповещений на конвейере обработки событий, который отвечает за сегментацию корреляционных событий и формирование оповещений в системе.

Чтобы на основе корреляционных событий могли создаваться оповещения, в правиле корреляции необходимо задать поле trigger_alert со значением true.

Правила сегментации обеспечивают фильтрацию и группировку корреляционных событий, позволяя их преобразование в оповещения в соответствии с заранее определенной логикой. Эти правила ассоциированы с конфигурацией сервиса оповещений и задают параметры для группировки событий, учитывая такие аспекты, как тип события, источник или другие характеристики. Основная цель правил сегментации — управление потоком корреляционных событий для их последующей обработки и генерации оповещений.

После генерации оповещения в него начинают поступать события, которые удовлетворяют условиям в соответствующем правиле сегментации. Так, например, в одном оповещении могут собираться все корреляционные события, которые были созданы одним и тем же правилом корреляции. При этом события дополнительно могут группироваться внутри оповещения по определенным критериям, таким как тип события, источник или другие атрибуты, на основе логики, заданной в правиле сегментации.

После обновления системы до версии R-Vision SIEM 1.4.0, все активные оповещения временно перестанут получать события. Это необходимая мера для успешного применения обновлений и гарантии корректной работы новой версии системы.

Для восстановления функционала оповещений, система автоматически создаст новые оповещения для этих событий после перезапуска соответствующего конвейера обработки событий. Мы рекомендуем вам проверить и, при необходимости, перенастроить правила сегментации и корреляции для соответствия новым требованиям версии 1.4.0.

Понимаем возможные неудобства и благодарим за ваше терпение и понимание в процессе обновления. В случае возникновения вопросов или необходимости помощи, пожалуйста, обратитесь в службу поддержки.

Интерфейс раздела

Панель инструментов раздела Оповещения включает в себя следующие компоненты:

  • Красный кружок со счетчиком новых оповещений отображает количество оповещений, поступивших в систему и еще не взятых в обработку и имеющих статус Новое.

  • Зеленый кружок со счетчиком оповещений в работе отображает количество оповещений, находящихся в обработке и имеющих статус В работе.

  • Кнопка Экспорт (export) позволяет экспортировать данные оповещений в формате CSV.

  • Кнопка Закрыть все позволяет одновременно закрыть все оповещения со статусом Новое.

  • Поле Поиск предназначено для быстрого поиска оповещений в отображаемом списке по названию.

  • Кнопка Фильтр (filter) позволяет открыть в правой части рабочей области панель для настройки фильтрации списка оповещений.

В рабочей области отображается таблица имеющихся оповещений. При выборе конкретного оповещения в правой части рабочей области отображается его карточка с основными сведениями, распределенными по следующим секциям:

  • Информация об оповещении — базовые сведения об оповещении, содержащие следующие параметры:

    • ID — уникальный идентификационный код оповещения, генерируемый автоматически при его поступлении в систему.

    • Название — название оповещения.

    • ID тенанта — уникальный идентификационный код тенанта, к которому относится оповещение.

    • Описание — описание оповещения.

    • Название правила сегментации — название правила сегментации, сгенерировавшего оповещение.

    • ID правила сегментации — уникальный идентификационный код правила сегментации, сгенерировавшего оповещение.

    • Поля группировки — поля, по которым производилась группировка корреляционных событий в рамках процесса сегментации.

    • Количество событий для группировки — количество корреляционных событий в сегменте группировки для генерации оповещения.

    • Ограничение группировки по времени — временной интервал (в секундах), в рамках которого корреляционные события группируются в оповещение.

    • Название правила корреляции — название правила корреляции, породившего оповещение.

    • Описание правила корреляции — описание правила корреляции, породившего оповещение.

    • Уровень угрозы — уровень угрозы оповещения (критический, высокий, средний или низкий).

    • Теги — теги оповещения.

    • Ответственный — пользователь, ответственный за оповещение.

    • Статус — текущий статус оповещения (ложное срабатывание, в работе, новое или закрыто).

    • Дата создания — дата и время поступления оповещения в систему.

    • Дата обновления — дата и время последнего обновления оповещения.

  • Первое корреляционное событие — поля первого корреляционного события, на основе которого сгенерировано оповещение.

  • Базовые события — список базовых (сырых) событий, лежащих в основе корреляционного события. Список представлен в виде таблицы со следующими столбцами:

    • ID — уникальный идентификационный код базового события.

    • Timestamp — дата и время возникновения базового события.

Название оповещения формируется на основе логики, определенной в поле alert_name правила сегментации. Если поле alert_name не определено, оповещению будет автоматически присвоено название правила корреляции, которое первым привело к его срабатыванию. Если правило корреляции не ассоциировано с правилом сегментации, название оповещения будет автоматически сформировано из названия правила корреляции.

В нижней части карточки оповещения находится кнопка Подробнее. При нажатии на кнопку в рабочей области отображается детальная информация об оповещении, которая включает в себя следующие вкладки:

  • Информация — отображает информацию об оповещении. Содержит поля, идентичные полям на карточке оповещения.

  • Расследование — отображает информацию о событиях и группах из правила корреляции, связанных с оповещением.

    • Связанные события представлены в виде таблицы, в которой отображаются записи о дате и времени возникновения событий и информация о сырых событиях, лежащих в их основе.

      Над таблицей также находится кнопка Все события корреляции, при нажатии на которую происходит переход в раздел Поиск с отображением всех связанных с оповещением событий корреляции.

    • Связанные группы событий из правила корреляции представлены в виде таблицы, в которой отображаются группы, их значения и кнопки перехода в раздел Поиск с отображением связанных с оповещением событий с выбранным значением группы.

  • Интеграция — отображает информацию о связанных с оповещением интеграциях. Интеграции представлены в виде таблицы, содержащей колонки с названием и текущим статусом связанной интеграции.

В верхней части экрана детальной информации об оповещении отображается название оповещения, а также содержатся:

  • Переключатель Комментарии, позволяющий отобразить в правой части рабочей области панель комментариев, которая содержит список всех комментариев к оповещению в хронологическом порядке. На панели имеются кнопки для добавления, удаления и редактирования комментариев.

  • Кнопка Назад, позволяющая вернуться в раздел Оповещения.

Колонки таблицы оповещений представлены следующим образом:

  • Название правила корреляции — название правила корреляции, породившего оповещение.

  • Уровень угрозы — уровень угрозы оповещения (критический, высокий, средний или низкий).

  • Теги — теги оповещения.

  • Статус — текущий статус оповещения (ложное срабатывание, в работе, новое или закрыто).

  • Количество событий — количество корреляционных событий в сегменте группировки для генерации оповещения.

  • Дата создания — дата и время поступления оповещения в систему.

  • Дата изменения — дата и время последнего изменения оповещения.

При работе с таблицей оповещений доступны следующие операции:

  • Поиск оповещений по полю Название.

  • Фильтрация оповещений по полям Правило сегментации, Теги, Статус и Уровень угрозы:

    • Теги вводятся вручную и применяются по кнопке ENTER.

    • Правило сегментации, статус и уровень угрозы выбираются из выпадающих списков.

  • Сортировка оповещений по полям Название, Количество событий, Дата создания и Дата изменения.

  • Настройка отображения таблицы оповещений.

Работа с оповещением

Доступные операции над оповещениями:

Просмотр базовой информации об оповещении

Чтобы просмотреть базовую информацию об оповещении:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях, в том числе их критичность (критическая/высокая/средняя/низкая) и статус (ложное срабатывание/в работе/новое/закрыто).

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с базовой информацией о нем.

Название оповещения отображается в верхней части карточки.

Чтобы закрыть карточку, нажмите на крестик в правом верхнем углу карточки.

Карточка содержит сведения, распределенные по следующим секциям:

  • Информация об оповещении — базовые сведения об оповещении, содержащие следующие параметры:

    • ID — уникальный идентификационный код оповещения, генерируемый автоматически при его поступлении в систему.

    • Название — название оповещения.

    • ID тенанта — уникальный идентификационный код тенанта, к которому относится оповещение.

    • Описание — описание оповещения.

    • Название правила сегментации — название правила сегментации, сгенерировавшего оповещение.

    • ID правила сегментации — уникальный идентификационный код правила сегментации, сгенерировавшего оповещение.

    • Поля группировки — поля, по которым производилась группировка корреляционных событий в рамках процесса сегментации.

    • Количество событий для группировки — количество корреляционных событий в сегменте группировки для генерации оповещения.

    • Ограничение группировки по времени — временной интервал (в секундах), в рамках которого корреляционные события группируются в оповещение.

    • Название правила корреляции — название правила корреляции, породившего оповещение.

    • Описание правила корреляции — описание правила корреляции, породившего оповещение.

    • Уровень угрозы — уровень угрозы оповещения (критический, высокий, средний или низкий).

    • Теги — теги оповещения.

    • Ответственный — пользователь, ответственный за оповещение.

    • Статус — текущий статус оповещения (ложное срабатывание, в работе, новое или закрыто).

    • Дата создания — дата и время поступления оповещения в систему.

    • Дата обновления — дата и время последнего обновления оповещения.

  • Первое корреляционное событие — поля первого корреляционного события, на основе которого сгенерировано оповещение.

  • Базовые события — список базовых (сырых) событий, лежащих в основе корреляционного события. Список представлен в виде таблицы со следующими столбцами:

    • ID — уникальный идентификационный код базового события.

    • Timestamp — дата и время возникновения базового события.

      Вы можете сворачивать/разворачивать список базовых событий с помощью стрелки справа от заголовка списка.

    В строке каждого базового события в списке расположена кнопка поиска (search), по которой выполняется поиск соответствующего события в разделе Поиск. Чтобы найти сразу все базовые события в разделе Поиск, нажмите на кнопку Найти все (search) справа от заголовка списка.

Вы можете редактировать уровень угрозы, теги, статус и описание оповещения. Для этого нажмите на иконку редактирования (edit) в строке соответствующего поля и внесите изменения.

Просмотр детальной информации об оповещении

Чтобы просмотреть детальную информацию об оповещении:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях, в том числе их критичность (критическая/высокая/средняя/низкая) и статус (ложное срабатывание/в работе/новое/закрыто).

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с базовой информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

Название оповещения отображается в верхней части экрана детальной информации.

Экран детальной информации об оповещении содержит следующие вкладки:

  • Информация — отображает базовую информацию об оповещении.

  • Расследование — отображает информацию о событиях и группах из правила корреляции, связанных с оповещением.

  • Интеграция — отображает информацию о связанных с оповещением интеграциях.

Чтобы выйти из экрана детальной информации об оповещении, нажмите на кнопку Назад в левой верхней части экрана.

Работа с вкладкой Информация

Вкладка Информация отображается по умолчанию при переходе на экран детальной информации об оповещении. Чтобы открыть вкладку:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях, в том числе их критичность (критическая/высокая/средняя/низкая) и статус (ложное срабатывание/в работе/новое/закрыто).

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с базовой информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

Вкладка отображает основные сведения об оповещении, распределенные по следующим секциям:

  • Информация об оповещении — базовые сведения об оповещении, содержащие следующие параметры:

    • ID — уникальный идентификационный код оповещения, генерируемый автоматически при его поступлении в систему.

    • Название — название оповещения.

    • ID тенанта — уникальный идентификационный код тенанта, к которому относится оповещение.

    • Описание — описание оповещения.

    • Название правила сегментации — название правила сегментации, сгенерировавшего оповещение.

    • ID правила сегментации — уникальный идентификационный код правила сегментации, сгенерировавшего оповещение.

    • Поля группировки — поля, по которым производилась группировка корреляционных событий в рамках процесса сегментации.

    • Количество событий для группировки — количество корреляционных событий в сегменте группировки для генерации оповещения.

    • Ограничение группировки по времени — временной интервал (в секундах), в рамках которого корреляционные события группируются в оповещение.

    • Название правила корреляции — название правила корреляции, породившего оповещение.

    • Описание правила корреляции — описание правила корреляции, породившего оповещение.

    • Уровень угрозы — уровень угрозы оповещения (критический, высокий, средний или низкий).

    • Теги — теги оповещения.

    • Ответственный — пользователь, ответственный за оповещение.

    • Статус — текущий статус оповещения (ложное срабатывание, в работе, новое или закрыто).

    • Дата создания — дата и время поступления оповещения в систему.

    • Дата обновления — дата и время последнего обновления оповещения.

  • Первое корреляционное событие — поля первого корреляционного события, на основе которого сгенерировано оповещение.

  • Базовые события — список базовых (сырых) событий, лежащих в основе корреляционного события. Список представлен в виде таблицы со следующими столбцами:

    • ID — уникальный идентификационный код базового события.

    • Timestamp — дата и время возникновения базового события.

      Вы можете сворачивать/разворачивать список базовых событий с помощью стрелки справа от заголовка списка.

    В строке каждого базового события в списке расположена кнопка поиска (search), по которой выполняется поиск соответствующего события в разделе Поиск. Чтобы найти сразу все базовые события в разделе Поиск, нажмите на кнопку Найти все (search) справа от заголовка списка.

Вы можете редактировать уровень угрозы, теги, статус и описание оповещения. Для этого нажмите на иконку редактирования (edit) в строке соответствующего поля и внесите изменения.

Работа с вкладкой Расследование

Вкладка Расследование отображает сведения о событиях и группах из правила корреляции, связанных с оповещением. Чтобы открыть вкладку:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях, в том числе их критичность (критическая/высокая/средняя/низкая) и статус (ложное срабатывание/в работе/новое/закрыто).

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с базовой информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

  4. Перейдите на вкладку Расследование.

В верхней части вкладки отображается список связанных с оповещением событий корреляции. Список представлен в виде таблицы, содержащей следующие колонки:

  • Время — дата и время возникновения события.

  • Информация о событии — базовое (сырое) событие, лежащее в основе просматриваемого события.

Список можно сортировать по полю Время. Для этого выберите направление сортировки из выпадающего меню Действия (more vertical), расположенного в заголовке столбца:

  • sort default По умолчанию — сортировка отсутствует.

  • sort up По возрастанию.

  • sort down По убыванию.

Применить сортировку также можно с помощью аналогичных кнопок в заголовке столбца: последовательное нажатие кнопки меняет направление сортировки.

Над списком также находится кнопка Все события корреляции, при нажатии на которую происходит переход в раздел Поиск с отображением всех связанных с оповещением событий корреляции.

Слева от строки каждого события корреляции в таблице расположена кнопка в виде стрелки, позволяющая раскрыть список базовых событий этого события.

В левой части области заголовка таблицы расположена кнопка в виде стрелки, позволяющая раскрыть списки базовых событий сразу всех событий корреляции.

Чтобы посмотреть детальную информацию по событию, нажмите на его строку в списке. В правой части рабочей области отобразится карточка выбранного события. Карточка содержит следующие сведения о событии:

  • Дата и время получения события.

  • Служебные поля модели события.

  • Регулярные поля модели события.

  • Список базовых событий оповещения (для события корреляции). Список отображается в виде таблицы со следующими колонками:

    • ID — уникальный идентификационный код базового события.

    • Timestamp — дата и время возникновения базового события.

      Вы можете сворачивать/разворачивать список базовых событий с помощью стрелки справа от заголовка списка.

    В строке каждого базового события в списке расположена кнопка поиска (search), по которой выполняется поиск соответствующего события в разделе Поиск. Чтобы найти сразу все базовые события в разделе Поиск, нажмите на кнопку Найти все (search) справа от заголовка списка.

  • Подробная информация об исходном событии в виде VRL-запроса (для базового события).

    Справа от заголовка блока с информацией об исходном событии расположена кнопка Скопировать, позволяющая скопировать исходное событие в буфер обмена.

Вы можете сворачивать/разворачивать блоки сведений о событии с помощью стрелки справа от заголовков блоков.

В нижней части вкладки в рабочей области отображается список связанных с оповещением групп событий. Список представлен в виде таблицы, содержащей колонки с полями, по которым проводится группировка в правиле корреляции.

В строке каждой группы в списке расположена кнопка Перейти, по которой выполняется поиск событий в разделе Поиск со значениями полей, соответствующими выбранной группировке.

Работа с вкладкой Интеграции

Вкладка Интеграции отображает сведения об интеграциях, связанных с оповещением. Чтобы открыть вкладку:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях, в том числе их критичность (критическая/высокая/средняя/низкая) и статус (ложное срабатывание/в работе/новое/закрыто).

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с базовой информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

  4. Перейдите на вкладку Интеграции.

Список интеграций представлен в виде таблицы, содержащей колонки с названием и текущим статусом связанной интеграции.

В строке каждой интеграции в списке расположена кнопка Отправить, по которой осуществляется отправка оповещения во внешнюю систему согласно настройкам интеграции.

Работа с комментариями

Доступные операции над комментариями:

Просмотр комментариев

Чтобы просмотреть комментарии к оповещению:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях, в том числе их критичность (критическая/высокая/средняя/низкая) и статус (ложное срабатывание/в работе/новое/закрыто).

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с базовой информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

  4. Включите переключатель Комментарии в левой верхней части экрана. Система отобразит в правой части экрана панель комментариев к оповещению.

На панели комментариев отображены все комментарии, добавленные к оповещению.

В верхней части панели содержится кнопка для добавления нового комментария.

В верхней части каждого комментария отображаются:

  • идентификатор пользователя, добавившего комментарий;

  • дата и время добавления комментария;

  • кнопки для изменения и удаления комментария.

Добавление комментариев

Чтобы добавить комментарий к оповещению:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях, в том числе их критичность (критическая/высокая/средняя/низкая) и статус (ложное срабатывание/в работе/новое/закрыто).

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с базовой информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

  4. Включите переключатель Комментарии в левой верхней части экрана. Система отобразит в правой части экрана панель комментариев к оповещению.

  5. Нажмите на кнопку Добавить комментарий. Система отобразит поле ввода нового комментария.

  6. Введите комментарий.

  7. Нажмите на кнопку Сохранить. Система добавит новый комментарий к оповещению и отобразит уведомление о его добавлении. Комментарий отобразится в списке комментариев на панели.

Изменение комментариев

Чтобы изменить комментарий к оповещению:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях, в том числе их критичность (критическая/высокая/средняя/низкая) и статус (ложное срабатывание/в работе/новое/закрыто).

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с базовой информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

  4. Включите переключатель Комментарии в левой верхней части экрана. Система отобразит в правой части экрана панель комментариев к оповещению.

  5. Нажмите на кнопку edit в правом верхнем углу комментария, который требуется изменить. Система отобразит поле ввода комментария.

  6. Введите новый комментарий.

  7. Нажмите Сохранить. Измененный комментарий будет сохранен.

Удаление комментариев

Чтобы удалить комментарий к оповещению:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях, в том числе их критичность (критическая/высокая/средняя/низкая) и статус (ложное срабатывание/в работе/новое/закрыто).

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с базовой информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

  4. Включите переключатель Комментарии в левой верхней части экрана. Система отобразит в правой части экрана панель комментариев к оповещению.

  5. Нажмите на кнопку trash в правом верхнем углу комментария, который требуется удалить. Отобразится окно подтверждения удаления комментария.

  6. Нажмите на кнопку Удалить. Система отобразит уведомление об удалении комментария, и комментарий исчезнет из списка комментариев на панели.

Изменение оповещения

Вы можете изменять уровень критичности, список тегов и статус оповещения.

Чтобы изменить оповещение:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях, в том числе их критичность (критическая/высокая/средняя/низкая) и статус (ложное срабатывание/в работе/новое/закрыто).

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с базовой информацией о нем.

  3. Нажмите на кнопку edit рядом с нужным полем. Система отобразит поле изменения значения. Способ изменения значения зависит от поля оповещения:

    • Описание — введите новый текст описания.

    • Уровень угрозы — выберите уровень угрозы из выпадающего списка: критический, высокий, средний, низкий.

    • Теги — задайте новый список тегов.

    • Ответственный — выберите пользователя, ответственного за оповещение, из выпадающего списка.

      Ответственный после назначения не может быть удален. При необходимости можно выбрать другого пользователя, но нельзя убрать ответственного за оповещение, если он уже был назначен.

    • Статус — выберите статус из выпадающего списка: ложное срабатывание, в работе, новое, закрыто.

    Нажмите на кнопку Сохранить. Измененные данные оповещения будут сохранены.

Изменить оповещение можно также на вкладке Информация на экране его детальной информации:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях, в том числе их критичность (критическая/высокая/средняя/низкая) и статус (ложное срабатывание/в работе/новое/закрыто).

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку этого оповещения с базовой информацией о нем.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

  4. Убедитесь, что на экране детальной информации об оповещении открыта вкладка Информация.

  5. Нажмите на кнопку edit рядом с нужным полем. Система отобразит поле изменения значения. Способ изменения значения зависит от поля оповещения:

    • Описание — введите новый текст описания.

    • Уровень угрозы — выберите уровень угрозы из выпадающего списка: критический, высокий, средний, низкий.

    • Теги — задайте новый список тегов.

    • Ответственный — выберите пользователя, ответственного за оповещение, из выпадающего списка.

      Ответственный после назначения не может быть удален. При необходимости можно выбрать другого пользователя, но нельзя убрать ответственного за оповещение, если он уже был назначен.

    • Статус — выберите статус из выпадающего списка: ложное срабатывание, в работе, новое, закрыто.

    Нажмите на кнопку Сохранить. Измененные данные оповещения будут сохранены.

Массовое закрытие оповещений

Массовое закрытие позволяет одновременно перевести все оповещения со статусом Новое в один из следующих статусов:

  • Закрыто;

  • Ложное срабатывание.

Чтобы воспользоваться массовым закрытием оповещений:

  1. Нажмите на кнопку Закрыть все над списком оповещений. Отобразится окно закрытия оповещений.

  2. Выберите итоговый статус закрываемых оповещений из выпадающего списка Статус.

  3. Нажмите на кнопку Закрыть. Система переведет все новые оповещения в выбранный статус и отобразит соответствующее уведомление.

Экспорт оповещения

Экспорт оповещений происходит в формате CSV со следующими полями:

  • ID оповещения;

  • Все поля сущности оповещения;

  • Ссылка на оповещение;

  • ID корреляционных событий.

Чтобы экспортировать отдельное оповещение:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку c информацией об этом оповещении.

  3. Нажмите на кнопку Экспорт (export) в верхней части карточки. Отобразится окно экспорта.

  4. Нажмите Экспортировать. Информация об оповещении будет экспортирована.

Экспортировать оповещение можно также на вкладке Информация на экране его детальной информации:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Нажмите на строку оповещения в списке. Система отобразит в правой части экрана карточку c базовой информацией об этом оповещении.

  3. Нажмите на кнопку Подробнее в нижней части карточки. В рабочей области отобразится детальная информация об оповещении.

  4. Нажмите на кнопку Экспорт (export) на панели инструментов. Отобразится окно экспорта.

  5. Нажмите Экспортировать. Информация об оповещении будет экспортирована.

Чтобы экспортировать все найденные оповещения:

  1. Перейдите в раздел Оповещения. Система отобразит сведения об имеющихся оповещениях.

  2. Нажмите на кнопку Экспорт (export) на панели инструментов. Отобразится окно экспорта.

  3. Нажмите Экспортировать. Данные оповещений будут экспортированы.

При экспорте списка оповещений выгружаются только те оповещения, которые отображаются в списке после применения фильтров и поиска
+7 (499) 322 80 40 sales@rvision.ru

О компании Политика конфиденциальности Пользовательское соглашение