Правила корреляции используются для распознавания определенных последовательностей обрабатываемых событий и выполнения определенных действий после распознавания: например, создание корреляционных событий или алертов, взаимодействие с активным листом.
Правила корреляции можно использовать в следующих сервисах и функциях KUMA:
Доступные параметры правила корреляции зависят от выбранного типа. Типы правил корреляции:
Этот тип правил используется для определения сложных закономерностей в последовательности событий. Для более простых комбинаций следует использовать другие типы правил корреляции, которые требуют меньше ресурсов.
Этот тип правил доступен только при использовании коррелятора correlator-ng. Создать его через веб-интерфейс KUMA невозможно.
При изменении конфигурации коррелятора correlator-ng может потребоваться удаление директорий correlation/ и containers/. Удаление этих директорий приводит к потере всех накопленных данных коррелятора, включая статистику, контейнеры правил корреляции, активные листы и контекстные таблицы.
Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.
Если правило корреляции используется в корреляторе и по нему был создан алерт, то при изменении правила корреляции существующий алерт не будет изменен, даже если перезапустить сервис коррелятора. Например, если у правила корреляции было изменено название, название алерта останется прежним. Если существующий алерт закрыть, то новый алерт будет создан уже с учетом изменений правила корреляции.
Если в правиле корреляции используется другой ресурс, например, сохраненный ранее фильтр, и этот ресурс изменяется, то при экспорте правила корреляции в файл могут попасть данные из более ранней версии измененного ресурса. При этом дальнейший импорт правила корреляции из этого файла завершается корректно, KUMA импортирует последнюю версию ресурса.