В KUMA можно настроить правила сегментации алертов, то есть создание отдельных алертов по определенным условиям. Это может оказаться полезным, когда коррелятор группирует однотипные корреляционные события в один общий алерт, однако вы хотите, чтобы на основе некоторых из этих событий, отличающихся чем-то важным от других, создавались отдельные алерты.
Правила сегментации создаются отдельно для каждого тенанта. Они отображаются в разделе Параметры → Алерты → Правила сегментации веб-интерфейса KUMA в таблице со следующими столбцами:
Тенант – название тенанта, которому принадлежат правила сегментации.
Обновлено – дата и время последнего обновления правил сегментации.
Выключено – в этом столбце отображается метка, если правила сегментации выключены.
Чтобы создать правило сегментации алерта:
Откройте раздел Параметры → Алерты → Правила сегментации веб-интерфейса KUMA.
Выберите тенант, для которого вы хотите создать правило сегментации:
Если у тенанта уже есть правила сегментации, выберите его в таблице.
Если у тенанта нет правил сегментации, нажмите Добавить тенант и в раскрывающемся списке Тенант выберите нужный тенант.
В блоке параметров Правила сегментации нажмите Добавить и укажите параметры правила сегментации:
Название (обязательно) – в этом поле укажите название правила сегментации.
Правило корреляции (обязательно) – в этом раскрывающемся списке выберите правило корреляции, события которого вы хотите выделить в отдельный алерт.
Селектор (обязательно) – в этом блоке параметров требуется задать условие, при котором правило сегментации будет срабатывать. Условия формулируются аналогично фильтрам.
Нажмите Сохранить.
Правило сегментации алертов создано. События, подходящие под эти правила, будут объединены в отдельный алерт с названием правила сегментации.
Чтобы выключить правила сегментации:
Откройте раздел Параметры → Алерты веб-интерфейса KUMA и выберите тенант, правила сегментации которого вы хотите выключить.
Установите флажок Выключено.
Нажмите Сохранить.
Правила сегментации алертов выбранного тенанта выключены.