Alarme nach Attributen gruppieren
Die Aggregation von Alarmen hilft bei der Identifizierung von Alarmen, die sich auf denselben Vorfall beziehen können, und vereinfacht so den Untersuchungsprozess.
Um die Funktionalität der Alarm-Aggregation zu aktivieren, müssen Sie Folgendes tun:
- Aktivieren Sie im Hauptmenü den Unterabschnitt Alarme.
- Aktivieren Sie den Administrationsserver unter einer Lizenz für Kaspersky Next XDR Optimum und stellen Sie anschließend den Lizenzschlüssel für Kaspersky Next XDR Optimum für Ihre verwalteten Anwendungen bereit.
Wenn Sie die Lizenz für Kaspersky Next EDR Optimum verwenden, müssen Sie die Anwendungen, die auf Ihren verwalteten Geräten installiert sind, nicht unter der Lizenz für Kaspersky Next XDR Optimum aktivieren. Sie müssen dies nur für neue Geräte tun, falls vorhanden.
Da die Lizenz für Kaspersky Next XDR Optimum die Mandantenfähigkeit unterstützt, können Sie den Lizenzschlüssel zentral an verwaltete Anwendungen verteilen. Die automatische Verteilung der Lizenz auf sekundäre und virtuelle Administrationsserver wird nicht unterstützt.
Sie können Alarme nach Gerätename, Konto oder Hash-Name (SHA256) aggregieren.
Alarme werden nur dann nach einem Attribut aggregiert, wenn dieses Attribut nicht leer ist.
Alarme werden aggregiert, wenn sie mindestens ein Attribut gemeinsam haben und innerhalb von 24 Stunden nach einem anderen Alarm in der Gruppe auftreten.
Gehen Sie wie folgt vor, um Alarme nach Attributen zu aggregieren:
- Gehen Sie im Hauptmenü zu Überwachung und Berichterstattung → Alarme.
- Führen Sie eine der folgenden Aktionen aus:
- Aktivieren Sie den Umschalter Aggregation von Alarmen und wählen Sie dann ein oder mehrere Attribute aus, nach denen Alarme aggregiert werden sollen:
Die Attribute Gerätename und Benutzerkonto sind standardmäßig ausgewählt.
- Klicken Sie auf das Einstellungen-Symbol (
). Gehen Sie im nächsten Fenster Spalten-Einstellungen zur Registerkarte Gruppierung. Wählen Sie ID der Aggregationsgruppe aus und klicken Sie auf Speichern.
Wenn das Aggregieren aktiviert ist, werden die Alarme nach Ereigniszeitpunkt vom neuesten zum ältesten sortiert. Zusätzliche Sortieroptionen werden nicht unterstützt. Wenn Sie eine andere Optionsgruppe auswählen, wird das Aggregieren deaktiviert.
- Aktivieren Sie den Umschalter Aggregation von Alarmen und wählen Sie dann ein oder mehrere Attribute aus, nach denen Alarme aggregiert werden sollen:
In der Tabelle werden die nach Attributen aggregierten Alarme angezeigt, wobei die nicht aggregierten Alarme unten aufgelistet sind.
Jeder Alarm wird nach dem Aggregieren nur einer Gruppe zugewiesen.
Nach oben