Добавление временного списка исключений для корреляционного правила
Для пользователей без прав редактирования корреляционных правил в веб-интерфейсе KUMA имеется возможность создавать временный список исключений (например, создавать исключения для ложноположительных срабатываний при работе с алертами). Пользователь с правами редактирования корреляционных правил может затем по необходимости добавить исключения в правило и удалить их из временного списка.
Чтобы добавить исключения в корреляционное правило при работе с алертами:
- Перейдите в раздел Алерты и выберите необходимый алерт.
- Нажмите на кнопку Найти в событиях.
Отображаются события алерта на странице событий.
- Откройте корреляционное событие.
Откроется карточка события, в которой напротив каждого поля отобразится кнопка
(стрелка) для добавления исключения.
- Нажмите на кнопку
и выберите Добавить в исключение.
Открывается боковая панель с полями: Корреляционное правило, Исключение, Алерт, Комментарий.
- Нажать на кнопку Создать.
Правило исключения добавлено.
Исключение добавится во временный список. Этот список будет доступен всем, у кого есть права на чтение корреляционных правил, в разделе Ресурсы → Правила корреляции в панели инструментов списка правил по кнопке Список исключений. Если вы хотите посмотреть исключения конкретного правила, откройте карточку правила и перейдите на вкладку Исключения.
Список исключений содержит записи со следующими параметрами:
Исключение
Условие исключения.
Корреляционное правило
Наименование корреляционного правила.
-
Алерт
Наименование алерта, из которого было добавлено исключение.
Тенант
Тенант, в рамках которого действует правило и исключение соответственно.
Условие
Формируется автоматически на основании выбранного поля корреляционного события.
Дата создания
Дата и время добавления исключения.
Истекает
Дата и время, когда исключение будет автоматически удалено из списка.
Создано
Имя пользователя, который добавил исключение.
Комментарий
После добавления исключения, корреляционное правило будет работать с учетом исключения в течение 7 дней по умолчанию. В разделе Параметры → Общие вы можете настроить время действия исключений, изменив параметр corr_rule_exclusion_ttl_hours
в разделе Свойства ядра. Вы можете настроить длительность хранения исключений в часах и днях. Минимальное значение 1 час, максимальное – 365 дней. Эта настройка доступна только для пользователя с ролью Главный администратор.
Чтобы поля из базовых событий переходили в корреляционные события, эти поля необходимо указать в карточке корреляционного правила на вкладке Общие в поле Наследуемые поля. Если поля базовых событий не будут отображены в корреляционном событии, поля нельзя будет добавить в исключения.
Чтобы удалить исключения из корреляционного правила:
- Перейдите в раздел Ресурсы → Правила корреляции.
- В панели инструментов списка правил нажмите на кнопку Список исключений.
Откроется окно со списком исключений.
- Выбрать нужные исключения и нажать на кнопку Удалить.
Исключения будут удалены из корреляционного правила.
KUMA генерирует аудит события по факту создания или удаления исключений. Вы можете посмотреть изменения параметров события в окне Информация о событии.
В начало