Alarme nach Attributen gruppieren
Um die Funktion zum Aggregieren von Alarmen zu aktivieren, müssen Sie den Administrationsserver unter einer Lizenz für Kaspersky Next XDR Optimum aktivieren und anschließend den Lizenzschlüssel für Kaspersky Next XDR Optimum für Ihre verwalteten Anwendungen bereitstellen. Wenn Sie die Lizenz für Kaspersky Next EDR Optimum verwenden, müssen Sie die Anwendungen, die auf Ihren verwalteten Geräten installiert sind, nicht unter der Lizenz für Kaspersky Next XDR Optimum aktivieren. Sie müssen dies nur für neue Geräte tun, falls vorhanden.
Da die Lizenz für Kaspersky Next XDR Optimum die Mandantenfähigkeit unterstützt, können Sie den Lizenzschlüssel zentral an verwaltete Anwendungen verteilen. Die automatische Verteilung der Lizenz auf sekundäre und virtuelle Administrationsserver wird nicht unterstützt.
Die Aggregation gruppiert Alarme, die möglicherweise zum selben Vorfall gehören, was den Untersuchungsprozess vereinfacht. Sie können Alarme nach Gerätename, Konto oder Hash-Name (SHA256) aggregieren.
Alarme werden nur dann nach einem Attribut aggregiert, wenn dieses Attribut nicht leer ist.
Alarme werden aggregiert, wenn sie mindestens ein Attribut gemeinsam haben und innerhalb von 24 Stunden nach einem anderen Alarm in der Gruppe auftreten.
Gehen Sie wie folgt vor, um Alarme nach Attributen zu aggregieren:
- Gehen Sie im Hauptmenü zu Überwachung und Berichterstattung → Alarme.
- Führen Sie eine der folgenden Aktionen aus:
- Aktivieren Sie den Umschalter Aggregation von Alarmen und wählen Sie dann ein oder mehrere Attribute aus, nach denen Alarme aggregiert werden sollen:
- Gerätename
- Benutzerkonto
- Hash-Name (SHA256)
Die Attribute Gerätename und Benutzerkonto sind standardmäßig ausgewählt.
- Klicken Sie auf das Einstellungen-Symbol (
). Gehen Sie im nächsten Fenster Spalten-Einstellungen zur Registerkarte Gruppierung. Wählen Sie ID der Aggregationsgruppe aus und klicken Sie auf Speichern.
Wenn das Aggregieren aktiviert ist, werden die Alarme nach Ereigniszeitpunkt vom neuesten zum ältesten sortiert. Zusätzliche Sortieroptionen werden nicht unterstützt. Wenn Sie eine andere Optionsgruppe auswählen, wird das Aggregieren deaktiviert.
- Aktivieren Sie den Umschalter Aggregation von Alarmen und wählen Sie dann ein oder mehrere Attribute aus, nach denen Alarme aggregiert werden sollen:
In der Tabelle werden die nach Attributen aggregierten Alarme angezeigt. Nicht aggregierte Alarme werden unten in der Tabelle angezeigt.
Jeder Alarm wird nach dem Aggregieren nur einer Gruppe zugewiesen.
Nach oben