Ticket¶
Hlavní parametry tiketu¶
Každý tiket má své unikátní ID a název, stejně jako další parametry (jak povinné, tak volitelné):
- Typ:
alert/incident - Závažnost:
lowest/low/medium/high/highest - Stav: fáze pracovního postupu, ve které se tiket nachází (
open/triaged/closed/deleted) - Skóre rizika: číselná hodnota závažnosti
- Odpovědná osoba: osoba odpovědná za probíhající vyšetřování
- Popis
Další detaily tiketu¶
Časová osa¶
Časová osa zaznamenává všechny relevantní změny v tiketu, jako jsou fáze životního cyklu tiketu, změny odpovědných osob, relevantní komentáře uživatelů atd.
Je to entita orientovaná na vyšetřování, což znamená, že zobrazuje pouze data aktuálně relevantní k danému problému.
Atributy¶
Atributy jsou různé indikátory kompromitace, které mohou být relevantní pro vyšetřování daného bezpečnostního incidentu.
Názvy atributů pocházejí ze schématu (např. source.ip, source.port, user.id atd.).
Ve výchozím nastavení zobrazuje seznam hodnot atributů s počítadlem pro každou (kolikrát byla tato hodnota přijata).
Události¶
Úplná hierarchie přímo přiřazených událostí a událostí z vnořených tiketů.
Související tikety¶
Úplná hierarchie přímo přiřazených tiketů a jejich vnořených tiketů.
