Грамотное управление инцидентами, их своевременное выявление и адекватное реагирование на них – ключевой элемент информационной безопасности компании. Для реализации данного процесса используется модуль Управления инцидентами Security Vision.
Модуль Управления инцидентами регистрирует инциденты в системе (в автоматическом и ручном режиме), собирает всю доступную информацию об инциденте, производит его классификацию и категоризацию, определяет вовлеченные в инцидент активы Компании, уведомляет ответственных за разрешение инцидента сотрудников и владельцев вовлеченных в инцидент активов.
Модуль Управления инцидентами агрегирует разнородные сигналы от средств защиты в единый инцидент и предоставляет инструментарий для работы с инцидентом ответственным сотрудникам, в том числе поддерживая их совместную работу. Для автоматической регистрации инцидентов в системе используются специализированные коннекторы данных. Коннекторы данных обладают гибкой функциональностью по интеграции с существующими средствами защиты информации Компании (например, DLP, Антивирусная система, межсетевые экраны, средства контроля целостности, шлюзы безопасности и т.д.) и выявлению инцидентов.
Пример карточки инцидента представлен на Рисунке.
В системе предустановлены 3 типа инцидентов – базовый, стандартный и расширенный. Каждый тип инцидента связан со своим процессом обработки, реализованным посредством рабочих процессов системы, и отличается иерархией обработки – от одной до трех линий.
Типы инцидентов, состав используемых для их описания атрибутов, рабочие процессы обработки инцидентов доступны для редактирования под требования компании с использованием встроенных конструкторов.
Для описания инцидентов доступны свойства следующих типов:
-
целое число;
-
дробное число;
-
строка;
-
дата/время;
-
булево значение;
-
ссылка на элемент организационно-штатной структуры;
-
ссылка на сотрудника;
-
ссылка на актив;
-
ссылка на группу пользователей;
-
справочник;
-
временной интервал;
-
файл;
- расширенный текст с разметкой.
