Группировка алертов по атрибутам
Чтобы включить функционал агрегации алертов, необходимо активировать Сервер администрирования по лицензии Kaspersky Next XDR Optimum, а затем распространить лицензионный ключ Kaspersky Next XDR Optimum на управляемые приложения. Если вы у вас есть лицензии Kaspersky Next EDR Optimum, вам не нужно активировать приложения, установленные на ваших управляемых устройствах по лицензии Kaspersky Next XDR Optimum. Вам нужно выполнить это только для новых устройств, если они есть.
Поскольку лицензия Kaspersky Next XDR Optimum поддерживает мультитенантность, вы можете централизованно распространять лицензионный ключ среди управляемых приложений. Автоматическое распространение лицензии на подчиненные и виртуальные Серверы администрирования не поддерживается.
Агрегация алертов в группы, которые могут относиться к одному инциденту, что упрощает процесс расследования. Вы можете агрегировать алерты по имени устройства, учетной записи или SHA256.
Алерты объединяются по атрибуту, только если этот атрибут не пуст.
Алерты объединяются, если они имеют хотя бы один атрибут и возникают в течение 24 часов после любого другого алерта в группе.
Чтобы агрегировать алерты по атрибутам:
- В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
- Выполните одно из следующих действий:
- Включите переключатель Агрегация алертов и выберите один или несколько атрибутов, по которым нужно агрегировать алерты:
- Имя устройства
- Учетная запись
- Название хеша (SHA256)
По умолчанию выбраны атрибуты Имя устройства и Учетная запись.
- Нажмите на значок параметров (
). В открывшейся панели Параметры столбцов перейдите на вкладку Группировка. Выберите Идентификатор группы агрегации и нажмите Сохранить.
Когда агрегация включена, алерты сортируются по параметру Время события от самого нового к самому старому. Дополнительные параметры сортировки не поддерживаются. Выбор другой группы параметров выключит агрегацию.
- Включите переключатель Агрегация алертов и выберите один или несколько атрибутов, по которым нужно агрегировать алерты:
В таблице отображаются алерты, сгруппированные по атрибутам. Неагрегированные алертры перечислены внизу таблицы.
Каждый алерт назначается только одной группе после агрегирования.
В начало