Поддержка

Поддержка приложений для бизнеса

Kaspersky Symphony XDR: SMP

Обнаружение угроз

Работа с инцидентами

Правила сегментации

Kaspersky Symphony XDR: Single Management Platform
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Правила сегментации

15 мая 2024

ID 268028

Скачать PDF

Правила сегментации позволяют автоматически разделять связанные алерты на отдельные инциденты в зависимости от заданных условий.

Используйте правила сегментации для создания отдельных инцидентов на основе связанных алертов. Например, вы можете объединить несколько алертов с важной отличительной чертой в отдельный инцидент.

Алерты могут быть связаны только с инцидентом, принадлежащим тому же тенанту.

Когда вы пишете выражение jq при создании правила сегментации, может появиться ошибка о недопустимом выражении, хотя выражение является корректным. Эта ошибка не блокирует создание правила сегментации. Это известная ошибка.

Чтобы создать правило сегментации:

  1. В главном окне программы перейдите в раздел ПараметрыТенанты.
  2. Нажмите на тенант, для которого вы хотите создать правило сегментации.
  3. На вкладке Параметры выберите раздел Правила сегментации.
  4. Нажмите на кнопку Создать.

    Откроется окно Правила сегментации.

  5. Укажите параметры сегментации правила.
    • Состояние

      Включите или выключите правило.

    • Имя правила

      Укажите уникальное имя правила. Имя должно содержать от 1 до 255 символов Юникода.

    • Максимальное количество алертов в инциденте

      Максимальное количество алертов в одном инциденте. Если количество алертов превышает указанное значение, создается другой инцидент.

    • Минимальное количество алертов в инциденте

      Минимальное количество алертов в одном инциденте. Если количество алертов не достигает указанного значения, инцидент не создается.

    • Имя инцидента (шаблон)

      Выражение jq, определяющее шаблон наименований инцидентов, созданных в соответствии с этим правилом сегментации.

      Пример: "Malware Detected with MD5 \(.Observables[] | select(.Type == "md5") | .Value)"

    • Интервал поиска

      Период, из которого следует выбирать алерты и инциденты.

    • Описание

      Необязательно. Описание правила.

    • Триггер

      Выражение jq, определяющее условие включения алертов в инцидент.

      Пример: .Rules[].Name | . == "R077_02_KSC. Malware detected"

    • Группы

      Выражение jq, определяющее массив правил, по которым назначаются алерты инцидентам.

      Пример: [.Observables[] | select(.Type == "md5") | .Value ]

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!