Навигатор по разделу:
1. Общая информация
Раздел «Расследование» предназначен для сбора и анализа информации при расследовании инцидентов безопасности. Он позволяет задать параметры поиска и зафиксировать связанные с расследованием артефакты.
При возникновении подозрения на инцидент или при необходимости проанализировать определенные обстоятельства, в контексте расследования указываются известные факты: временной интервал, объекты, субъекты, метки и другие параметры. Настроенные фильтры могут применяться во всех инспекторах и разделах аудита.
Доступ к разделу осуществляется через основное меню — раздел «Контекст расследования».
Рисунок — Путь к разделу "Расследование"
2. Создание и настройка расследования
Чтобы начать создание расследование, нажмите на кнопку "Расследование". Откроется окно "Контекст расследования". Все настройки выполняются на вкладке "Заявка", а собранные в ходе расследования материалы сохраняются на вкладке "Артефакты".
2.1. Вкладка «Заявка»
На вкладке "Заявка" задаются параметры расследования (известные факты и обстоятельства инцидента).
Таблица — Вкладка "Заявка"
| Параметр | Описание |
|---|---|
| Основание для расследования | Повод для проведения расследования. Возможные значения:
|
| Предполагаемый временной интервал | Диапазон дат и времени, в котором предположительно произошел инцидент. Задается с помощью календаря |
| Хранилище данных | Хранилище, в котором находится объект расследования. Выбирается из выпадающего списка |
| Название | Название объекта данных |
| Метка | Метка классификации, связанная с объектом. Выбирается из выпадающего списка |
| Имя | Имя пользователя, связанного с расследованием |
Если фильтр включен (подсвечен синим) — он применяется во всех инспекторах и разделах аудита при поиске данных, событий и другой информации
Если фильтр выключен (подсвечен серым) — он сохраняется в контексте расследования, но не используется в поиске
Рисунок — Вкладка "Заявка"
2.2. Вкладка «Артефакты»
На вкладке «Артефакты» собираются доказательства и материалы, связанные с расследованием.
При работе в других разделах системы (например, в событиях безопасности, инспекторе данных, нарушениях политик) при наведении на интересующую строку появляется иконка "Добавить к артефактам расследования". Нажатие на эту иконку добавляет выбранный элемент в список артефактов текущего расследования.
Рисунок — Добавление к артефактам расследования
На вкладке "Артефакты" отображается информация обо всех собранных артефактах.
Рисунок — Вкладка "Артефакты"