Группировка алертов по атрибутам
Агрегирование алертов помогает идентифицировать алерты, которые могут быть связаны с одним и тем же инцидентом, что упрощает процесс расследования.
Чтобы включить функцию агрегирования алертов, вам нужно выполнить следующее:
- Включить подраздел Алерты в главном меню.
- Активировать Сервер администрирования по лицензии Kaspersky Security для бизнеса Профессиональный, а затем распространить лицензионный ключ Kaspersky Security для бизнеса Профессиональный на управляемые приложения.
При использовании функциональности по пробной лицензии Kaspersky Security для бизнеса Профессиональный вам нужно сначала добавить физический подчиненный Сервер администрирования, а затем активировать этот Сервер по этой лицензии.
Если вы у вас есть лицензии Kaspersky Security для бизнеса Профессиональный, вам не нужно активировать приложения, установленные на ваших управляемых устройствах по лицензии Kaspersky Security для бизнеса Профессиональный. Вам нужно выполнить это только для новых устройств, если они есть.
Поскольку лицензия Kaspersky Security для бизнеса Профессиональный поддерживает мультитенантность, вы можете централизованно распространять лицензионный ключ среди управляемых приложений. Автоматическое распространение лицензии на подчиненные и виртуальные Серверы администрирования не поддерживается.
Вы можете агрегировать алерты по имени устройства, учетной записи или SHA256.
Алерты объединяются по атрибуту, только если этот атрибут не пуст.
Алерты объединяются, если они имеют хотя бы один атрибут и возникают в течение 24 часов после любого другого алерта в группе.
Чтобы агрегировать алерты по атрибутам:
- В главном окне приложения перейдите в раздел Мониторинг и отчеты → Алерты.
- Выполните одно из следующих действий:
- Включите переключатель Агрегация алертов и выберите один или несколько атрибутов, по которым нужно агрегировать алерты:
По умолчанию выбраны атрибуты Имя устройства и Учетная запись.
- Нажмите на значок параметров (
). В открывшейся панели Параметры таблицы перейдите на вкладку Группировка. Выберите Идентификатор группы агрегации и нажмите Применить.
Когда агрегация включена, алерты сортируются по параметру Время события от самого нового к самому старому. Дополнительные параметры сортировки не поддерживаются. Выбор другой группы параметров выключит агрегацию.
- Включите переключатель Агрегация алертов и выберите один или несколько атрибутов, по которым нужно агрегировать алерты:
В таблице отображаются алерты, сгруппированные по атрибутам. Неагрегированные алерты перечислены внизу таблицы.
Каждый алерт назначается только одной группе после агрегирования.
В начало