В KUMA есть возможность проанализировать с помощью Kaspersky Investigation & Response Assistant (далее KIRA) команду, на которую сработало корреляционное правило. Команда записывается в поле события, если нормализация настроена таким образом, чтобы команда попадала в поле события. Вы можете просмотреть команду в карточке события или карточке корреляционного события и нажать Проанализировать с помощью KIRA в верхней части карточки события, чтобы отправить запрос в KIRA. KIRA выполнит деобфускацию и покажет результат предыдущего запроса по команде из кеша, если такой запрос был выполнен ранее. Эта функция помогает расследовать алерты и инциденты. Результаты анализа хранятся в кеше в течение 14 дней и доступны для повторного просмотра. Каждый раз при отправке запроса создается событие аудита.
Функция доступна в регионе RU при следующих условиях:
Если срок лицензии истек, результаты анализа будут доступны через задачи в течение срока жизни кеша, то есть в течение 14 дней с момента попадания результатов в кеш