Поле

Описание

ID

Уникальный идентификатор

Type

Тип события. Корреляционному событию должно соответствовать значение 3.

Name

Название корреляционного события. По умолчанию в качестве названия используется имя правила корреляции (то есть название ресурса Правило корреляции), которое породило это событие. Именования можно изменить в правилах корреляции в группе настроек Обогащение.

Timestamp

Время и дата создания корреляционного события.

CorrelationRuleID

Идентификатор правила корреляции, породившего это событие.

CorrelationRuleName

Название правила корреляции, породившего это событие.

Priority

Уровень важности корреляционного события

ServiceID

Идентификатор коррелятора, сервиса создавшего событие.

DeviceProduct

KUMA

DeviceVendor

Kaspersky

BaseEventCount

Количество базовых событий, связанных с корреляционным событием.

BaseEventIDs

Список идентификаторов базовых событий, на которых было основано корреляционное событие. Для детализированного анализа.

AffectedAssets

Список уникальных адресов, хостов, пользователей, идентификаторы активов, которые были затронуты потенциальным инцидентом

<Поля, которые были указанные в поле Группирующие поля ресурса Правило корреляции>

Копируется из событий, обработанных правилом корреляции.