Модуль Incident Manager представляет собой законченное функциональное решение по управлению жизненным циклом инцидентов в области информационной безопасности, ИТ инфраструктуры, аномального поведения пользователей и ошибок бизнес-процессов.
Основное назначение модуля – фиксация важных событий в виде инцидента, а также организация процесса, предоставление инструментов для управления выявленными инцидентами.
Формирование инцидентов происходит в автоматическом режиме при срабатывании специализированных правил – корреляционных запросов. Возможна интеграция c системами Service Desk в части как передачи инцидентов, так и синхронизации ключевых полей карточки, например, статус, ответственный, критичность и др.
Также возможны и другие способы формирования инцидентов:
поступление по email на служебный почтовый ящик;
в ручном режиме;
автоматически при переходе метрики или индикатора Ресурсно-Сервисной Модели из одного состояния в другое.
Функциональные характеристики
Консоль управления инцидентами
Модуль предоставляет механизмы для организации полного цикла работы над инцидентами. Для операторов центра реагирования доступна централизованная консоль со сводной информацией о выявленных инцидентах и возможностями диагностики различных параметров с использованием набора фильтров.
Модуль позволяет осуществлять удобную работу со статусами инцидентов и добавлять комментарии от лица участников расследования. Вся история изменений протоколируется на временной шкале.
Все важные поля из событий, на основе которых зафиксирован инцидент, добавляются в карточку и доступны при работе с инцидентом. Информация об инцидентах автоматически обогащается из модуля Inventory, что позволяет получить информацию об задействованных в инциденте активах (пользователях, хостах, информационных системах).
Workflow
Инструмент Workflow позволяет сформировать список статусов, которые может принимать инцидент. Затем, настроить логику переходов между этими статусами и ограничить возможности переходов с помощью ролевой модели.
Может быть настроено и использоваться неограниченное количество Workflow, Workflow могут быть назначены точечно для корреляционных правил, генерирующих инциденты. Для каждого перехода могут быть настроены активные действия:
первичные действия – запускаются до изменения статуса и выполняются синхронно;
другие действия – запускаются после изменения статуса и выполняются асинхронно.