Видео-обзор R-Vision 4.0. Карта рабочего процесса по инциденту

Ход рабочего процесса по инциденту может быть визуализирован в виде так называемой карты рабочего процесса. Она позволяет быстро оценить статус обработки инцидента – увидеть, какие действия уже выполнены (автоматически или вручную), что выполняется в данный момент, посмотреть результаты отработки коннекторов и скриптов, внести при необходимости корректировки.

Рассмотрим этот функционал на примере инцидента QRadar: IDS, подключенная к SIEM-системе, сигнализирует о том, что каким-то внешним ip-адресом происходит попытка сканирования корпоративных узлов. Для обработки данного типа инцидента разработан сценарий реагирования. Сначала посмотрим его настройки и состав, а затем визуализируем на карте рабочего процесса применительно уже к конкретному инциденту. Смотрите видео-обзор!

Поделиться записью: