Шаг 3. Корреляция

Это необязательный, но рекомендуемый шаг мастера установки. В вкладке мастера установки Корреляция следует выбрать или создать правила корреляции. В этих ресурсах задаются последовательности событий, указывающих на происшествия, связанные с безопасностью: при обнаружении таких последовательностей коррелятор создает корреляционное событие и алерт.

Если вы добавили в коррелятор глобальные переменные, все добавленные правила корреляции могут к ним обращаться.

Добавленные в набор ресурсов для коррелятора правила корреляции отображаются в таблице со следующими столбцами:

• Правила корреляции – название ресурса правила корреляции.
• Тип – тип правила корреляции: standard, simple, operational. Таблицу можно отфильтровать по значениям этого столбца, нажав на его заголовок и выбрав нужные значения.
• Действия – перечень действий, которые совершит коррелятор при срабатывании правила корреляции. Действия указываются в параметрах правила корреляции. Таблицу можно отфильтровать по значениям этого столбца, нажав на его заголовок и выбрав нужные значения.

  Доступные значения:

  • В дальнейшую обработку – корреляционные события, создаваемые этим правилом корреляции, передается в другие ресурсы коррелятора: в обогащение, в правиле реагирования, а затем в другие сервисы KUMA.
  • Изменение активного листа – правило корреляции вносит изменения в активные листы.
  • В коррелятор – корреляционное событие отправляется на повторную обработку в то же правило корреляции.
  • Изменение категории актива – корреляционное правило изменяет категории активов.
  • Обогащение событий – в корреляционном правиле настроено обогащение корреляционных событий.
  • Не создавать алерт – когда в результате срабатывания правила корреляции создается корреляционное событие, одновременно с ним НЕ создается алерт. Если вы хотите, чтобы алерт не создавался при срабатывании правила корреляции, но корреляционное событие все равно отправлялось в хранилище, установите флажки В дальнейшую обработку и Не создавать алерт. Если установлен только флажок Не создавать алерт, корреляционное событие не будет сохраняться в хранилище.
  • Используются общие ресурсы – правило корреляции или ресурсы, которые задействованы в правиле корреляции, расположены в общем тенанте.

С помощью поля Поиск можно искать правила корреляции. Добавленные правила корреляции можно убрать из набора ресурсов, выбрав нужные правила и нажав Удалить.

При выборе правила корреляции открывается окно с его параметрами: параметры можно изменить и Сохранить. При нажатии в этом окне на кнопку Удалить, правило корреляции отвязывается от набора ресурсов.

С помощью кнопок Поднять и Опустить можно изменять положение выбранных правил корреляции в таблице правил корреляции, что отражается на последовательности их выполнения при обработке событий. С помощью кнопки Поднять operational-правила можно переместить правила корреляции типа operational в начало списка правил корреляции.

Чтобы привязать к набору ресурсов для коррелятора существующие правила корреляции:

1. Нажмите Привязать.

   Откроется окно выбора ресурсов.

2. Выберите нужные правила корреляции и нажмите ОК.

Правила корреляции привязаны к набору ресурсов для коррелятора и отображаются в таблице правил.

Чтобы создать в наборе ресурсов для коррелятора новое правило корреляции:

1. Нажмите Добавить.

   Откроется окно создания правила корреляции.

2. Укажите параметры правила корреляции и нажмите Сохранить.

Правило корреляции создано и привязано к набору ресурсов для коррелятора. Оно отображается в таблице правил корреляции, а также в списке ресурсов в разделе Ресурсы → Правила корреляции.

Перейдите к следующему шагу мастера установки.