Добавление временного списка исключений для корреляционного правила

Для пользователей без прав редактирования корреляционных правил в веб-интерфейсе KUMA имеется возможность создавать временный список исключений (например, создавать исключения для ложноположительных срабатываний при работе с алертами). Пользователь с правами редактирования корреляционных правил может затем по необходимости добавить исключения в правило и удалить их из временного списка.

Чтобы добавить исключения в корреляционное правило при работе с алертами:

1. Перейдите в раздел Алерты и выберите необходимый алерт.
2. Нажмите на кнопку Найти в событиях.

   Отображаются события алерта на странице событий.

3. Откройте корреляционное событие.

   Откроется карточка события, в которой напротив каждого поля отобразится кнопка (стрелка) для добавления исключения.

4. Нажмите на кнопку и выберите Добавить в исключение.

   Открывается боковая панель с полями: Корреляционное правило, Исключение, Алерт, Комментарий.

5. Нажать на кнопку Создать.

Правило исключения добавлено.

Исключение добавится во временный список. Этот список будет доступен всем, у кого есть права на чтение корреляционных правил, в разделе Ресурсы → Правила корреляции в панели инструментов списка правил по кнопке Список исключений. Если вы хотите посмотреть исключения конкретного правила, откройте карточку правила и перейдите на вкладку Исключения.

Список исключений содержит записи со следующими параметрами:

• Исключение

  Условие исключения.

• Корреляционное правило

  Наименование корреляционного правила.

• Алерт

  Наименование алерта, из которого было добавлено исключение.

• Тенант

  Тенант, в рамках которого действует правило и исключение соответственно.

• Условие

  Формируется автоматически на основании выбранного поля корреляционного события.

• Дата создания

  Дата и время добавления исключения.

• Истекает

Дата и время, когда исключение будет автоматически удалено из списка.

• Создано

  Имя пользователя, который добавил исключение.

• Комментарий

После добавления исключения, корреляционное правило будет работать с учетом исключения в течение 7 дней по умолчанию. В разделе Параметры → Другое → Общие вы можете настроить время действия исключений, изменив параметр corr_rule_exclusion_ttl_hours в разделе Свойства ядра. Вы можете настроить длительность хранения исключений в часах и днях. Минимальное значение – 1 час, максимальное – 365 дней. Этот параметр доступен только для пользователя с ролью Главный администратор.

Чтобы поля из базовых событий переходили в корреляционные события, эти поля необходимо указать в карточке корреляционного правила на вкладке Общие в поле Наследуемые поля. Если поля базовых событий не будут отображены в корреляционном событии, поля нельзя будет добавить в исключения.

Чтобы удалить исключения из корреляционного правила:

1. Перейдите в раздел Ресурсы → Правила корреляции.
2. В панели инструментов списка правил нажмите на кнопку Список исключений.

   Откроется окно со списком исключений.

3. Выбрать нужные исключения и нажать на кнопку Удалить.

Исключения будут удалены из корреляционного правила.

KUMA генерирует аудит события по факту создания или удаления исключений. Вы можете просмотреть изменения параметров события в окне Информация о событии.

В начало