Поддержка

Поддержка приложений для бизнеса

Kaspersky Unified Monitoring and Analysis Platform

Приложения

Правила корреляции

Kaspersky Unified Monitoring and Analysis Platform
Нет результатов
База знаний Онлайн-справка
FAQ Обзор решения Форум Запрос в поддержку Видео

Правила корреляции

11 марта 2024

ID 250594

Скачать PDF

В файле, доступном по ссылке для скачивания, описаны правила корреляции, включенные в поставку Kaspersky Unified Monitoring and Analysis Platform версии 3.0.2. Приводятся сценарии, покрываемые правилами, условия их использования и необходимые источники событий.

Описанные в этом документе правила корреляции содержатся в файле SOC_package дистрибутива KUMA и защищены паролем SOC_package1. Одновременно возможно использование только одной версии набора SOC-правил: или русской, или английской.

Правила корреляции можно импортировать в KUMA. См. раздел онлайн-справки "Импорт ресурсов": https://support.kaspersky.com/KUMA/3.0.2/ru-RU/242787.htm.

Импортированные правила корреляции можно добавлять в используемые вашей организацией корреляторы. См. раздел онлайн-справки "Шаг 3. Корреляция": https://support.kaspersky.com/KUMA/3.0.2/ru-RU/221168.htm.

Скачать Описание правил корреляции, содержащихся в SOC_package.xlsx

Автоматическое подавление срабатывания правил

В пакете с правилами корреляции SOC_package предусмотрено автоматическое подавление срабатывания правил, если частота срабатывания превышает пороговые значения.

Опция автоматического подавления предполагает следующую логику работы: если правило сработало более 100 раз за 1 минуту и такое поведение случилось не менее 5 раз за 10 минут, правило будет помещено в стоп-лист.

  • При первом помещении в стоп-лист правило отключается на 1 час.
  • При повторном - на 24 часа.
  • При всех последующих на 7 дней.

Логика работы описана в ресурсах: правилах, активных листах и словарях, которые размещены в папке SOC_package/System/Rule disabling by condition.

Вы можете задать параметры и пороговые значения с учетом своих потребностей.

Чтобы включить опцию автоматического подавления, в словаре SOC_package/Integration/Rule disabling configuration присвойте параметру enable значение "1".

Чтобы отключить опцию автоматического подавления, в словаре SOC_package/Integration/Rule disabling configuration присвойте параметру enable значение "0".

По умолчанию автоматическое подавление включено и параметру enable присвоено значение "1".

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!