Regroupement des alertes par attributs
L'agrégation des alertes permet d'identifier les alertes qui peuvent être liées au même incident, ce qui simplifie le processus d'enquête.
Pour activer la fonctionnalité d'agrégation des alertes, vous devez procéder comme suit :
- Activez la sous-section Alerte dans le menu principal.
- Activez le Serveur d'administration sous une licence pour Kaspersky Next XDR Optimum, puis déployez la clé de licence pour Kaspersky Next XDR Optimum dans les applications que vous administrez.
Si vous utilisez la licence pour Kaspersky Next EDR Optimum, vous n'avez pas besoin d'activer les applications installées sur vos appareils administrés sous la licence pour Kaspersky Next XDR Optimum. Vous ne devez le faire que pour les nouveaux appareils, le cas échéant.
Étant donné que la licence pour Kaspersky Next XDR Optimum prend en charge la multilocation, vous pouvez distribuer de manière centralisée la clé de licence aux applications administrées. La distribution automatique de la licence aux Serveurs d'administration virtuels et secondaires n'est pas prise en charge.
Vous pouvez regrouper les alertes par nom d'appareil, compte ou nom du hachage (SHA256).
Les alertes sont agrégées par un attribut uniquement si cet attribut n'est pas vide.
Les alertes sont agrégées si elles partagent au moins un attribut et si elles se produisent dans les 24 heures suivant toute autre alerte du groupe.
Pour agréger les alertes par attributs, procédez comme suit :
- Dans le menu principal, accédez à Surveillance et rapports → Alerte.
- Exécutez une des actions suivantes :
- Activez le commutateur Agrégation des alertes, puis sélectionnez au moins un attribut pour agréger les alertes par :
Les attributs Nom de l'appareil et Compte utilisateur sont sélectionnés par défaut.
- Cliquez sur l'icône des Paramètres (
). Dans le volet Paramètres des colonnes qui s'ouvre, accédez à l'onglet Groupe. Sélectionnez Identifiant du groupe d'agrégation et cliquez sur Enregistrer.
Lorsque l'agrégation est activée, les alertes sont triées par Heure de l'événement, du plus récent au plus ancien. Les options de tri supplémentaires ne sont pas prises en charge. La sélection d'une autre option de regroupement désactivera l'agrégation.
- Activez le commutateur Agrégation des alertes, puis sélectionnez au moins un attribut pour agréger les alertes par :
Le tableau affiche les alertes agrégées par attributs. Les alertes non regroupées s'affichent en bas du tableau.
Chaque alerte est attribuée à un seul groupe après agrégation.
Haut de page