Проверка правильности установки коррелятора
Проверить готовность коррелятора к получению событий можно следующим образом:
- В веб-интерфейсе KUMA откройте раздел Ресурсы → Активные сервисы.
- Убедитесь, что у установленного вами коррелятора зеленый статус.
Если в коррелятор поступают события, удовлетворяющие условиям фильтра правил корреляции, на вкладке событий будут отображаться события с параметрами DeviceVendor=Kaspersky и DeviceProduct=KUMA. Название сработавшего правила корреляции будет отображаться как название этих корреляционных событий.
Если корреляционные события не найдены
Можно создать более простую версию правила корреляции, чтобы найти возможные ошибки. Используйте правило корреляции типа simple и одно действие Отправить событие на дальнейшую обработку. Рекомендуется создать фильтр для поиска событий, которые KUMA получает регулярно.
При обновлении, добавлении или удалении правила корреляции требуется обновить параметры коррелятора.
Когда вы закончите тестирование правил корреляции, необходимо удалить все тестовые и временные правила корреляции из KUMA и обновить параметры коррелятора.
