Ретроспективная проверка

Вы можете использовать функцию Ретроспективная проверка для "воспроизведения" событий в KUMA путем передачи выборки событий в коррелятор для их обработки определенными правилами корреляции. Можно указать, чтобы во время ретроспективной проверки событий создавались алерты. Ретроспективная проверка может быть полезна при отладке ресурсов правил корреляции или анализе исторических данных.

При ретроспективной проверке события не обогащаются данными из CyberTrace и Kaspersky Threat Intelligence Portal.

Активные листы при ретроспективной проверке обновляются.

Ретроспективную проверку невозможно проводить на выборках событий, полученных с помощью SQL-запросов с группировкой данных и арифметическими выражениями.

Чтобы включить ретроспективную проверку:

  1. В разделе События веб-интерфейса KUMA получите необходимую выборку событий:
    • Выберите хранилище.
    • Настройте поисковое выражение с помощью конструктора или поискового запроса.
    • Задайте необходимый временной период.
  2. В раскрывающемся списке MoreButton выберите Ретроспективная проверка.

    Откроется окно ретроспективной проверки.

  3. В раскрывающемся списке Коррелятор выберите сервис коррелятора, в который будут загружены выбранные события.
  4. В раскрывающемся списке Правила корреляции выберите правила корреляции, с помощью которых необходимо обработать выбранные события.
  5. Если вы хотите, чтобы в процессе обработки событий срабатывали правила реагирования, включите переключатель Выполнить правила реагирования.
  6. Если вы хотите, чтобы в процессе обработки событий создавались алерты, включите переключатель Создать алерты.
  7. Нажмите на кнопку Создать задачу.

В разделе Диспетчер задач создана задача ретроспективной проверки.

Чтобы просмотреть результаты проверки,

В разделе Диспетчер задач веб-интерфейса KUMA нажмите на созданную вами задачу и в раскрывающемся списке выберите Перейти к событиям.

Открывается новая вкладка браузера с таблицей событий, обработанных в ходе ретроспективной проверки, а также агрегированными и корреляционными событиями, созданные во время обработки.

В зависимости от настроек вашего браузера может потребоваться ваше подтверждение на открытие новой вкладки с результатами ретроспективной проверки. Подробнее см. в документации вашего браузера.

В начало