Фильтрация алертов

В KUMA в разделе Алерты можно делать выборки алертов с помощью инструментов фильтрации и сортировки.

Конфигурацию фильтра можно сохранить. Существующие конфигурации фильтров можно удалить.

Настройка таблицы алертов

В основной части раздела Алерты отображается таблица с информацией о зарегистрированных алертах. Нажав на заголовки столбцов можно открыть раскрывающиеся списки с инструментами для фильтрации алертов и настройки таблицы алертов:

• Уровень важности () – степень значимости потенциальной угрозы безопасности: критическая , высокая , средняя , низкая .
• Название – имя алерта.

  Если рядом с названием алерта отображается тег Переполнен, это означает, что размер алерта достиг или приближается к пределу и должен быть обработан как можно скорее.

• Статус – текущее состояние алерта:
  • Новый – новый, еще не обработанный алерт.
  • Назначен – алерт обработан и передан сотруднику службы безопасности для расследования или реагирования.
  • Закрыт – алерт закрыт. Алерт был ложный или угроза безопасности устранена.
  • Эскалирован – на основе этого алерта был создан инцидент.
• Назначен – имя сотрудника службы безопасности, которому алерт передан для расследования или реагирования.
• Инцидент – название инцидента, к которому привязан алерт.
• Первое появление – дата и время создания первого корреляционного события в последовательности событий, приведшего к созданию алерта.
• Последнее появление – дата и время создания последнего корреляционного события в последовательности событий, приведшего к созданию или обновлению алерта.
• Категории – категории активов с наибольшим уровнем важности, относящихся к алерту. Отображается не более трех категорий.
• Тенант – название тенанта, которому принадлежит алерт.

В поле Поиск можно ввести регулярное выражение для поиска алертов по связанным с ними активам, пользователям, тенантам или корреляционным правилам. Параметры, по которым производится поиск:

• Активы: название, FQDN, IP-адрес.
• Учетные записи Active Directory: атрибуты displayName, SAMAccountName, UserPrincipalName.
• Корреляционные правила: название.
• Пользователи KUMA, которым назначены алерты: имя, логин, адрес электронной почты.
• Тенанты: название.

При фильтрации алертов по какому-либо параметру соответствующий заголовок таблицы алертов подсвечивается желтым цветом.

Сохранение и выбор конфигураций фильтра алертов

В KUMA можно сохранять изменения параметров таблицы алертов в виде фильтров. Конфигурации фильтров сохраняются на сервере Ядра KUMA и доступны всем пользователям KUMA того тенанта, для которого они были созданы.

Чтобы сохранить текущие параметры конфигурации фильтра:

1. В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
2. Выберите Сохранить текущий фильтр.

   Появится поле для ввода названия нового фильтра и выбора тенанта, которому он будет принадлежать.

3. Введите название для конфигурации фильтра. Название должно быть уникальным для фильтров алертов, фильтров инцидентов и фильтров событий.
4. В раскрывающемся списке Тенант выберите тенант, которому будет принадлежать фильтр, и нажмите Сохранить.

Конфигурация фильтра сохранена.

Чтобы выбрать ранее сохраненную конфигурацию фильтра:

1. В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
2. Выберите нужную конфигурацию.

Конфигурация фильтра активна.

Вы можете выбрать фильтр, который будет использоваться по умолчанию, поставив в раскрывающемся списке Фильтры звездочку левее названия требуемой конфигурации фильтра.

Чтобы сбросить текущие настройки фильтра,

Откройте раскрывающийся список Фильтры и выберите Очистить фильтры.

Удаление конфигураций фильтра алертов

Чтобы удалить ранее сохраненную конфигурацию фильтра:

1. В разделе KUMA Алерты откройте раскрывающийся список Фильтры.
2. Нажмите значок на фильтре, который требуется удалить.
3. Нажмите ОК.

Конфигурация фильтра удалена для всех пользователей KUMA.