Содержание
Шаг 3. Корреляция
Это необязательный, но рекомендуемый шаг мастера установки. В вкладке мастера установки Корреляция следует выбрать или создать правила корреляции. В этих ресурсах задаются последовательности событий, указывающих на происшествия, связанные с безопасностью: при обнаружении таких последовательностей коррелятор создает корреляционное событие и алерт.
Если вы добавили в коррелятор глобальные переменные, все добавленные правила корреляции могут к ним обращаться.
Добавленные в набор ресурсов для коррелятора правила корреляции отображаются в таблице со следующими столбцами:
- Правила корреляции – название ресурса правила корреляции.
- Тип – тип правила корреляции: standard, simple, operational. Таблицу можно отфильтровать по значениям этого столбца, нажав на его заголовок и выбрав нужные значения.
- Действия – перечень действий, которые совершит коррелятор при срабатывании правила корреляции. Действия указываются в параметрах правила корреляции. Таблицу можно отфильтровать по значениям этого столбца, нажав на его заголовок и выбрав нужные значения.
Доступные значения:
- В дальнейшую обработку – корреляционные события, создаваемые этим правилом корреляции, передается в другие ресурсы коррелятора: в обогащение, в правиле реагирования, а затем в другие сервисы KUMA.
- Изменение активного листа – правило корреляции вносит изменения в активные листы.
- В коррелятор – корреляционное событие отправляется на повторную обработку в то же правило корреляции.
- Изменение категории актива – корреляционное правило изменяет категории активов.
- Обогащение событий – в корреляционном правиле настроено обогащение корреляционных событий.
- Не создавать алерт – когда в результате срабатывания правила корреляции создается корреляционное событие, одновременно с ним НЕ создается алерт. Если вы хотите, чтобы алерт не создавался при срабатывании правила корреляции, но корреляционное событие все равно отправлялось в хранилище, установите флажки В дальнейшую обработку и Не создавать алерт. Если установлен только флажок Не создавать алерт, корреляционное событие не будет сохраняться в хранилище.
- Используются общие ресурсы – правило корреляции или ресурсы, которые задействованы в правиле корреляции, расположены в общем тенанте.
С помощью поля Поиск можно искать правила корреляции. Добавленные правила корреляции можно убрать из набора ресурсов, выбрав нужные правила и нажав Удалить.
При выборе правила корреляции открывается окно с его параметрами: параметры можно изменить и Сохранить. При нажатии в этом окне на кнопку Удалить, правило корреляции отвязывается от набора ресурсов.
С помощью кнопок Поднять и Опустить можно изменять положение выбранных правил корреляции в таблице правил корреляции, что отражается на последовательности их выполнения при обработке событий. С помощью кнопки Поднять operational-правила можно переместить правила корреляции типа operational в начало списка правил корреляции.
Чтобы привязать к набору ресурсов для коррелятора существующие правила корреляции:
- Нажмите Привязать.
Откроется окно выбора ресурсов.
- Выберите нужные правила корреляции и нажмите ОК.
Правила корреляции привязаны к набору ресурсов для коррелятора и отображаются в таблице правил.
Чтобы создать в наборе ресурсов для коррелятора новое правило корреляции:
- Нажмите Добавить.
Откроется окно создания правила корреляции.
- Укажите параметры правила корреляции и нажмите Сохранить.
Правило корреляции создано и привязано к набору ресурсов для коррелятора. Оно отображается в таблице правил корреляции, а также в списке ресурсов в разделе Ресурсы → Правила корреляции.
Перейдите к следующему шагу мастера установки.
В начало