按属性分组警报
要启用警报聚合功能,您必须在 Kaspersky Next XDR Optimum 授权许可下激活管理服务器,然后将 Kaspersky Next XDR Optimum 授权许可密钥部署到您的受管理应用程序。如果您使用的是 Kaspersky Next EDR Optimum 授权许可,则无需激活在 Kaspersky Next XDR Optimum 授权许可下安装在受管理设备上的应用程序。您只能对新设备(如有)执行此操作。
因为 Kaspersky Next XDR Optimum 授权许可支持多租户,所以您可以集中将授权许可密钥分发给受管理应用程序。不支持将授权许可自动分发到从属和虚拟管理服务器。
聚合将可能属于同一事件的警报进行分组,从而使调查过程更容易。您可以按设备名称、账户或哈希名称(SHA256)聚合警报。
仅当属性不为空时,警报才会根据该属性聚合。
如果警报至少共享一个属性,并且在组中任何其他警报的 24 小时内发生,则这些警报会聚合在一起
要按属性聚合警报:
- 在主菜单中,转到监控和报告 → 警报。
- 执行以下操作之一:
- 启用警报聚合切换开关,然后选择一个或多个属性来聚合警报:
- 设备名称
- 账户
- 文件哈希 (SHA256)
默认情况下选择设备名称和账户属性。
- 单击设置图标(
)。在打开的表格设置窗格中,转到分组选项卡。选择聚合组 ID,单击应用。
启用聚合后,警报将按事件时间从最新到最旧进行排序。不支持其他排序选项。选择不同的选项组将禁用聚合。
- 启用警报聚合切换开关,然后选择一个或多个属性来聚合警报:
该表显示按属性聚合的警报。未聚合的警报显示在表格底部。
聚合后,每个警报仅被分配给一个组。
页顶