Расследование алерта

Расследование алерта используется, когда вам нужно получить дополнительную информацию об угрозе, из-за которой был создан алерт: реальна ли угроза, откуда она исходит, на какие элементы сетевой среды она влияет, как следует бороться с угрозой. Анализ событий, связанных с корреляционными событиями, которые в свою очередь породили алерт, может помочь вам определить курс действий.

Для обеспечения удобства расследования алертов убедитесь, что на всех устройствах, связанных с жизненным циклом обработки событий (источники событий, серверы KUMA, клиентские хосты) время синхронизируется при помощи серверов Network Time Protocol (NTP).

В KUMA режим расследования алерта включается, когда вы нажимаете ссылку Найти в событиях в окне алерта или в окне корреляционного события. В режиме расследования алерта отображается таблица событий с фильтрами, автоматически настроенными на поиск событий из алерта или корреляционного события. Фильтры также соответствуют времени продолжительности алерта или времени регистрации корреляционного события. Вы можете изменить эти фильтры, чтобы найти другие события и узнать больше о процессах, связанных с угрозой.

В режиме расследования алерта становится доступным дополнительный раскрывающийся список EventSelector:

Вы можете вручную привязать к алертам событие любого типа, кроме корреляционного. К алерту можно привязать только не привязанные к нему события.

В режиме расследования алерта можно создавать и сохранять конфигурации фильтров событий. При использовании этого фильтра в обычном режиме просмотра событий будут отображены все события, соответствующие критериям фильтра, независимо от того, привязаны ли они к алерту, выбранному для расследования алерта.

Чтобы привязать событие к алерту:

  1. В разделе Алерты веб-интерфейса KUMA нажмите алерт, к которому вы хотите привязать событие.

    Откроется окно алерта.

  2. В разделе Связанные события нажмите на кнопку Найти в событиях.

    Откроется таблица событий с включенными фильтрами даты и времени, соответствующим дате и времени регистрации привязанных к алерту событий. В столбцах отображаются параметры, используемые правилом корреляции для создания алерта. В таблице событий также отображается столбец Привязка к алерту, в котором отмечаются события, привязанные к алерту.

  3. В раскрывающемся списке EventSelector выберите значение Все события.
  4. При необходимости измените фильтры, чтобы найти событие, которое требуется привязать к алерту.
  5. Выберите нужное событие и нажмите на кнопку Привязать к алерту в нижней части области деталей события.

Событие будет привязано к алерту. Вы можете отвязать это событие от алерта, нажав в области деталей Отвязать от алерта.

Когда событие привязывается или отвязывается от алерта, в окне алерта в разделе Журнал изменений добавляется запись об этом действии. По ссылке в этой записи вы можете открыть область деталей и отвязать или привязать событие к алерту, нажав на соответствующую кнопку.

В начало