Проверить готовность коррелятора к получению событий можно следующим образом:
Если в коррелятор поступают события, удовлетворяющие условиям фильтра правил корреляции, на закладке событий будут отображаться события с параметрами DeviceVendor=Kaspersky
и DeviceProduct=KUMA
. Название сработавшего правила корреляции будет отображаться как название этих корреляционных событий.
Если корреляционные события не найдены
Можно создать более простую версию правила корреляции, чтобы найти возможные ошибки. Используйте правило корреляции типа simple и одно действие Отправить событие на дальнейшую обработку. Рекомендуется создать фильтр для поиска событий, которые KUMA получает регулярно.
При обновлении, добавлении или удалении правила корреляции требуется обновить параметры коррелятора.
Когда вы закончите тестирование правил корреляции, необходимо удалить все тестовые и временные правила корреляции из KUMA и обновить параметры коррелятора.
В начало