Детализированный анализ
Детализированный анализ используется, когда вам нужно получить дополнительную информацию об угрозе, из-за которой был создан алерт: реальна ли угроза, откуда она исходит, на какие элементы сетевой среды она влияет, как следует бороться с угрозой. Анализ событий, связанных с корреляционными событиями, которые в свою очередь породили алерт, может помочь вам определить курс действий.
В KUMA режим детализированного анализа включается, когда вы нажимаете ссылку Найти в событиях в окне алерта или в окне корреляционного события. В режиме детализированного анализа отображается таблица событий с фильтрами, автоматически настроенными на поиск событий из алерта или корреляционного события. Фильтры также соответствуют времени продолжительности алерта или времени регистрации события корреляции. Вы можете изменить эти фильтры, чтобы найти другие события и узнать больше о процессах, связанных с угрозой.
В режиме детализированного анализа становится доступным дополнительный раскрывающийся список 
:
- Все события – просмотр всех событий.
- События алерта (выбрано по умолчанию) – просмотр только событий, связанных с алертом.
При фильтрации событий, связанным с алертом, действуют ограничения на сложность поисковых SQL-запросов.
Вы можете вручную привязать событие к алертам. К алерту можно привязать только не привязанные к нему события.
В режиме детализированного анализа можно создавать и сохранять конфигурации фильтров событий. При использовании этого фильтра в обычном режиме просмотра событий будут отображены все события, соответствующие критериям фильтра, независимо от того, привязаны ли они к алерту, выбранному для детализированного анализа.
Чтобы привязать базовое событие к алерту:
- В разделе Алерты веб-интерфейса KUMA нажмите алерт, к которому вы хотите привязать событие.
Откроется окно алерта.
- В разделе Связанные события нажмите кнопку Найти в событиях.
Откроется таблица событий с включенными фильтрами даты и времени, соответствующим дате и времени регистрации привязанных к алерту событий, а в столбцах отображаются параметры, используемые правилом корреляции для создания алерта. В таблице событий также отображается столбец Привязка к алерту, в котором отмечаются события, привязанные к алерту.
- В раскрывающемся списке выберите значение Все события.
- Измените фильтры, чтобы найти событие, которое требуется привязать к алерту.
- Выберите нужное событие и нажмите кнопку Привязать к алерту в нижней части области деталей события.
Событие будет привязано к алерту. Вы можете отвязать это событие от алерта, нажав в области деталей Отвязать от алерта.
Когда событие привязывается или отвязывается от алерта, в его окне в разделе Журнал изменений добавляется запись об этом действии. Вы можете перейти по ссылке в этой записи и в открывшейся области деталей события или отвязать его, или привязать к алерту с помощью кнопок Привязать к алерту и Отвязать от алерта.