Raggruppamento degli avvisi in base agli attributi
Per abilitare la funzionalità di aggregazione degli avvisi, è necessario attivare Administration Server con una licenza di Kaspersky Next XDR Optimum, quindi distribuire la chiave di licenza di Kaspersky Next XDR Optimum nelle applicazioni gestite. Se si utilizza la licenza di Kaspersky Next EDR Optimum, non è necessario attivare le applicazioni installate nei dispositivi gestiti con la licenza di Kaspersky Next XDR Optimum. È necessario eseguire questa operazione solo per i nuovi dispositivi, se presenti.
Poiché la licenza di Kaspersky Next XDR Optimum supporta la multi-tenancy, è possibile distribuire centralmente la chiave di licenza alle applicazioni gestite. La distribuzione automatica della licenza agli Administration Server secondari e Administration Server virtuali non è supportata.
L'aggregazione raggruppa gli avvisi che potrebbero appartenere allo stesso incidente, il che semplifica il processo di indagine. È possibile aggregare gli avvisi in base al nome del dispositivo, all'account o al nome hash (SHA256).
Gli avvisi vengono aggregati in base a un attributo solo se tale attributo non è vuoto.
Gli avvisi vengono aggregati se condividono almeno un attributo e si verificano entro 24 ore da qualsiasi altro avviso nel gruppo
Per aggregare gli avvisi in base agli attributi:
- Nel menu principale, accedere a Monitoraggio e generazione dei rapporti → Avvisi.
- Eseguire una delle seguenti operazioni:
- Abilitare l'interruttore Aggregazione avvisi, quindi selezionare uno o più attributi per aggregare gli avvisi in base a:
- Nome dispositivo
- Account
- Nome hash (SHA256)
Gli attributi Nome dispositivo e Account sono selezionati per impostazione predefinita.
- Fare clic sull'icona delle impostazioni (
). Nel riquadro Impostazioni colonne visualizzato, passare alla scheda Raggruppamento. Selezionare ID gruppo di aggregazione e fare clic su Salva.
Quando l'aggregazione è abilitata, gli avvisi vengono ordinati in base a Ora evento dal più recente al meno recente. Non sono supportate ulteriori opzioni di ordinamento. La selezione di un gruppo di opzioni diverso disabilita l'aggregazione.
- Abilitare l'interruttore Aggregazione avvisi, quindi selezionare uno o più attributi per aggregare gli avvisi in base a:
La tabella mostra gli avvisi aggregati in base agli attributi. Gli avvisi non aggregati vengono visualizzati nella parte inferiore della tabella.
Ogni avviso viene assegnato a un solo gruppo dopo l'aggregazione.
Inizio pagina