Правила корреляции используются для распознавания определенных последовательностей обрабатываемых событий и выполнения определенных действий после распознавания: например, создание корреляционных событий или алертов, взаимодействие с активным листом.
Правила корреляции можно использовать в следующих сервисах и функциях KUMA:
Доступные параметры правила корреляции зависят от выбранного типа. Типы правил корреляции:
Этот тип правил используется для определения сложных закономерностей в последовательности событий. Для более простых комбинаций следует использовать другие типы правил корреляции, которые требуют меньше ресурсов.
Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.
Если правило корреляции используется в корреляторе и по нему был создан алерт, то при изменении правила корреляции существующий алерт не будет изменен, даже если перезапустить сервис коррелятора. Например, если у правила корреляции было изменено название, название алерта останется прежним. Если существующий алерт закрыть, то новый алерт будет создан уже с учетом изменений правила корреляции.
Если в правиле корреляции используется другой ресурс, например, сохраненный ранее фильтр, и этот ресурс изменяется, то при экспорте правила корреляции в файл могут попасть данные из более ранней версии измененного ресурса. При этом дальнейший импорт правила корреляции из этого файла завершается корректно, KUMA импортирует последнюю версию ресурса.