Параметр Уровень важности отражает, насколько чувствительны для безопасности происшествия, обнаруженные коррелятором KUMA. Он показывает порядок, в котором следует обрабатывать алерты, а также указывает, требуется ли участие старших специалистов по безопасности.
Коррелятор автоматически назначает уровень важности корреляционным событиям и алертам, руководствуясь настройками правил корреляции. Уровень важности алерта также зависит от активов, связанных с обработанными событиями, так как правила корреляции принимают во внимание уровень важности категории этих активов. Если к алерту или корреляционному событию не привязаны активы с уровнем важности или не привязаны активы вообще, уровень важности такого алерта или корреляционного события приравнивается к уровню важности породившего их правила корреляции. Уровень важности алерта или корреляционного события всегда больше или равен уровню важности породившего их правила корреляции.
Если событие связано с активами, система использует наивысшую важность категории активов для расчета уровня важности корреляционного события или алерта.
Пример формулы для расчета уровня важности:
Уровень важности корреляционного события не может быть ниже уровня важности правила корреляции. Коррелятор и коллектор должны находиться в том же тенанте, что и активы. Уровни важности активов других тенантов не учитываются. |
Уровень важности алерта можно изменить вручную. Измененный вручную уровень важности перестает автоматически обновляться правилами корреляции.
Возможные значения уровня важности: