Ретроспективное сканирование

Вы можете использовать функцию ретроспективного сканирования (retroscan) для передачи выборки событий в коррелятор, чтобы они могли обрабатываться по определенным правилам корреляции. Вы можете использовать ретроспективное сканирование (retroscan), чтобы уточнить ресурсы правил корреляции или проанализировать данные истории.

Вы также можете создавать алерты на основе функции ретроспективного сканирования (retroscan).

Чтобы использовать ретроспективное сканирование:

1. В главном окне программы перейдите в раздел Мониторинг и отчеты → Поиск угроз.
2. В правом верхнем углу таблицы событий нажмите на кнопку и в выберите Retroscan.

   Откроется панель Retroscan.

3. В раскрывающемся списке Коррелятор выберите пункт Коррелятор, в который будут передаваться выбранные события.
4. В раскрывающемся списке Правила корреляции выберите правила корреляции, которые необходимо использовать при обработке событий.
5. Чтобы выполнить действия по реагированию во время обработки событий, включите переключатель Выполнить действия по реагированию.
6. Чтобы генерировать алерты во время обработки событий, включите переключатель Создать алерты.
7. Нажмите на кнопку Создать задачу.

   Задача ретроспективного сканирования создана в разделе KUMA Управление задачами.