Правила сегментации позволяют автоматически разделять связанные алерты на отдельные инциденты в зависимости от заданных условий.
Вы можете использовать правила сегментации для создания отдельных инцидентов на основе связанных алертов. Например, вы можете объединить несколько алертов с важной отличительной чертой в отдельный инцидент.
Алерты могут быть связаны только с инцидентом, принадлежащим тому же тенанту.
Когда вы пишете выражение jq при создании правила сегментации, может появиться ошибка о недопустимом выражении, хотя выражение является корректным. Эта ошибка не блокирует создание правила сегментации. Это известная ошибка.
Чтобы создать правило сегментации:
Откроется окно Правило сегментации.
Включите или выключите правило.
Укажите уникальное имя правила. Имя должно содержать от 1 до 255 символов Юникода.
Максимальное количество алертов в одном инциденте. Если количество алертов превышает указанное значение, создается другой инцидент.
Минимальное количество алертов в одном инциденте. Если количество алертов не достигает указанного значения, инцидент не создается.
Выражение jq, определяющее шаблон наименований инцидентов, созданных в соответствии с этим правилом сегментации.
Пример: "Malware Detected with MD5 \(.Observables[] | select(.Type == "md5") | .Value)"
Период, из которого следует выбирать алерты и инциденты.
Описание правила (необязательный параметр).
Выражение jq, определяющее условие включения алертов в инцидент.
Пример: .Rules[].Name | . == "R077_02_KSC. Malware detected"
Выражение jq, определяющее массив правил, по которым алерты назначаются инцидентам.
Пример: [.Observables[] | select(.Type == "md5") | .Value ]