Шаг 3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта
Шаг 3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта
На этом этапе вам нужно просмотреть информацию об алерте и убедиться, что данные событий алерта соответствуют сработавшему правилу корреляции.
Пример В названии алерта указано, что была изменена критичная ветвь реестра. В информации об алерте, в разделе Связанные события отображается таблица событий, относящихся к алерту. Аналитик видит, что в таблице записано одно событие, где указан путь к измененному ключу реестра, исходное и новое значение ключа. Следовательно, правило корреляции соответствует событию. |
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
