Ретроспективная проверка

В обычном режиме коррелятор работает только с событиями, поступающими от коллекторов в реальном времени. Ретроспективная проверка позволяет применить корреляционные правила к историческим событиям, если вы хотите отладить корреляционные правила или проанализировать исторические данные.

Чтобы проверить работу правила, не обязательно воспроизводить инцидент в реальном времени – можно запускать правило в режиме Ретроспективная проверка на исторических событиях, среди которых есть интересующий инцидент.

С помощью поискового запроса вы можете определить список исторических событий, для которых будет выполнена ретроспективная проверка, задать период поиска и указать хранилище, в котором следует искать события. Можно настроить задачу таким образом, чтобы во время ретроспективной проверки событий создавались алерты и применялись правила реагирования.

При ретроспективной проверке события не обогащаются данными из CyberTrace и Kaspersky Threat Intelligence Portal.

Активные листы при ретроспективной проверке обновляются.

Ретроспективную проверку невозможно проводить на выборках событий, полученных с помощью SQL-запросов с группировкой данных и арифметическими выражениями.

Чтобы включить ретроспективную проверку:

1. В разделе События веб-интерфейса KUMA получите необходимую выборку событий:
   • Выберите хранилище.
   • Настройте поисковое выражение с помощью конструктора или поискового запроса.
   • Задайте необходимый временной период.
2. В раскрывающемся списке выберите Ретроспективная проверка.

   Откроется окно ретроспективной проверки.

3. В раскрывающемся списке Коррелятор выберите сервис коррелятора, в который будут загружены выбранные события.
4. В раскрывающемся списке Правила корреляции выберите правила корреляции, с помощью которых необходимо обработать выбранные события. Если на этом шаге не выбрано ни одного правила, проверка будет выполнена с применением всех правил корреляции.
5. Если вы хотите, чтобы в процессе обработки событий срабатывали правила реагирования, включите переключатель Выполнить правила реагирования.
6. Если вы хотите, чтобы в процессе обработки событий создавались алерты, включите переключатель Создать алерты.
7. Нажмите на кнопку Создать задачу.

В разделе Диспетчер задач создана задача ретроспективной проверки.

Чтобы просмотреть результаты проверки, в разделе Диспетчер задач веб-интерфейса KUMA нажмите на созданную вами задачу и в раскрывающемся списке выберите Перейти к событиям.

Открывается новая вкладка браузера с таблицей событий, обработанных в ходе ретроспективной проверки, а также агрегированными и корреляционными событиями, созданными во время обработки. Корреляционные события, созданные ретроспективной проверкой, имеют дополнительное поле ReplayID, в котором хранится уникальный идентификатор выполнения ретроспективной проверки. Аналитик может повторно запустить ретроспективный поиск из контекстного меню задачи. У новых корреляционных событий будет другой ReplayID.

В зависимости от настроек вашего браузера может потребоваться ваше подтверждение на открытие новой вкладки с результатами ретроспективной проверки. Подробнее см. в документации вашего браузера.