Правила корреляции типа simple используются для определения простых последовательностей событий.
Окно правила корреляции содержит следующие закладки параметров:
Закладка Общие
Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до 1000000
.
Низкий
.Закладка Селекторы
В правиле типа simple может быть только один селектор, для которого доступны закладки Параметры и Локальные переменные.
Закладка Параметры содержит параметры с блоком параметров Фильтр:
На закладке Локальные переменные с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.
Последовательность условий, заданных в селекторе корреляционного правила, имеет значение и влияет на производительность системы. Мы рекомендуем на первое место в селекторе ставить наиболее уникальный критерий отбора.
Рассмотрим два примера селекторов, осуществляющих выборку событий успешной аутентификации в Microsoft Windows.
Селектор 1:
Условие 1. DeviceProduct = Microsoft Windows
Условие 2. DeviceEventClassID = 4624
Селектор 2:
Условие 1. DeviceEventClassID = 4624
Условие 2. DeviceProduct = Microsoft Windows
Последовательность условий, заданная в Селекторе 2, более предпочтительна, поскольку оказывает меньшую нагрузку на систему.
Закладка Действия
В правиле типа simple может быть только один триггер: На каждом событии. Он активируется каждый раз, когда срабатывает селектор.
Доступные параметры триггера:
Если установлены оба флажка, правило корреляции будет отправлено сначала на пост-обработку, а затем в селекторы текущего правила корреляции.
Доступные параметры:
Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.
Поле не должно содержать специальные символы или только цифры.
Доступные типы обогащения: