Шаг 3. Корреляция

Это необязательный, но рекомендуемый шаг мастера установки. На вкладке мастера установки Корреляция следует выбрать или создать правила корреляции. Эти ресурсы определяют последовательность событий, которые указывают на инциденты, связанные с безопасностью. При обнаружении этих последовательностей коррелятор создает событие корреляции и алерт.

Если вы добавили в коррелятор глобальные переменные, все добавленные правила корреляции могут к ним обращаться.

Добавленные в набор ресурсов для коррелятора правила корреляции отображаются в таблице со следующими столбцами:

• Правила корреляции – название ресурса правила корреляции.
• Тип – тип правила корреляции: standard, simple, operational. Таблицу можно отфильтровать по значениям этого столбца, нажав на его заголовок и выбрав нужные значения.
• Действия – перечень действий, которые совершит коррелятор при срабатывании правила корреляции. Действия указываются в параметрах правила корреляции. Таблицу можно отфильтровать по значениям этого столбца, нажав на его заголовок и выбрав нужные значения.

  Доступные значения:

  • В дальнейшую обработку – корреляционные события, создаваемые этим правилом корреляции, передается в другие ресурсы коррелятора: в обогащение, в правиле реагирования, а затем в другие сервисы KUMA.
  • Изменение активного листа – правило корреляции вносит изменения в активные листы.
  • В коррелятор – корреляционное событие отправляется на повторную обработку в то же правило корреляции.
  • Изменение категории актива – корреляционное правило изменяет категории активов.
  • Обогащение событий – в корреляционном правиле настроено обогащение корреляционных событий.
  • Не создавать алерт – когда в результате срабатывания правила корреляции создается корреляционное событие, одновременно с ним НЕ создается алерт. Если вы не хотите создавать алерт при срабатывании правила корреляции, но все же хотите отправить событие корреляции в хранилище, установите флажки Выводить и Нет алертов. Если вы установите только флажок Нет алертов, событие корреляции не сохраняется в хранилище.
  • Используются общие ресурсы – правило корреляции или ресурсы, которые задействованы в правиле корреляции, расположены в общем тенанте.

С помощью поля Поиск можно искать правила корреляции. Добавленные правила корреляции можно убрать из набора ресурсов, выбрав нужные правила и нажав Удалить.

При выборе правила корреляции открывается окно с его параметрами: параметры можно изменить и Сохранить. При нажатии в этом окне на кнопку Удалить, правило корреляции отвязывается от набора ресурсов.

Используйте кнопки Вверх и Вниз, чтобы изменить положение выбранных правил корреляции в таблице. Это влияет на последовательность их выполнения при обработке событий. С помощью кнопки Поднять operational-правила можно переместить правила корреляции типа operational в начало списка правил корреляции.

Чтобы привязать к набору ресурсов для коррелятора существующие правила корреляции:

1. Нажмите Привязать.

   Откроется окно выбора ресурсов.

2. Выберите нужные правила корреляции и нажмите ОК.

Правила корреляции привязаны к набору ресурсов для коррелятора и отображаются в таблице правил.

Чтобы создать в наборе ресурсов для коррелятора новое правило корреляции:

1. Нажмите на кнопку Добавить.

   Откроется окно создания правила корреляции.

2. Укажите параметры правила корреляции и нажмите Сохранить.

Правило корреляции создано и привязано к набору ресурсов для коррелятора. Оно отображается в таблице правил корреляции, а также в списке ресурсов в разделе Ресурсы → Правила корреляции.

Перейдите к следующему шагу мастера установки.

В начало