Создание правила сегментации

Правила сегментации алертов используются для разделения однотипных корреляционных событий по разным алертам. Условия для корреляционных событий, по которым будут создаваться отдельные алерты, задаются в правилах сегментации.

Чтобы создать правило сегментации:

  1. В веб-интерфейсе KUMA перейдите в раздел РесурсыПравила сегментации, выберите нужный тенант и нажмите на кнопку Создать.

    Откроется окно Создание правила сегментации.

  2. В поле Имя укажите имя правила сегментации. Имя должно быть уникальным и содержать от 1 до 128 символов в кодировке Unicode.
  3. При необходимости в раскрывающемся списке Тенант измените тенант, которому принадлежит правило сегментации.
  4. В раскрывающемся списке Тип укажите тип правила сегментации. Доступные значения:
    • По фильтру – алерт создается, если корреляционные события соответствуют условиям фильтра, заданным в блоке параметров Фильтр.

      С помощью кнопки Добавить условие можно добавить строку с полями для определения условия. С помощью кнопки Добавить группу можно добавить группу фильтров. Можно переключать групповые операторы между И, ИЛИ, НЕ. В группы фильтров можно добавить другие группы условий и отдельные условия. Условия и группы можно менять местами, перетаскивая их с помощью значка DragIcon, а также удалять с помощью значка X.. Условия можно задать с помощью операндов и операторов:

      • Левый операнд и Правый операнд – используются для указания значений, которые будет обрабатывать оператор.

        В левом операнде указываются названия полей событий, которые обрабатывает фильтр.

        В правом операнде можно выбрать тип значения константа или список, а также указать само значение.

      • Доступные операторы
    • По группирующим полям – алерт создается, если корреляционное событие содержит поля событий, указанные в раскрывающемся списке Группирующие поля правила корреляции.

      Группирующие поля можно выбрать в раскрывающемся списке Группирующие поля правила корреляции с помощью флажков. Добавленные поля можно удалить, нажав на значок крестика около названия группирующего поля.

      Пример использования группирующих полей

    • По количеству событий – алерт создается, если количество корреляционных событий в предыдущем алерте превысило значение, указанное в поле Количество корреляционных событий.
  5. В поле Шаблон именования алертов укажите шаблон, в соответствии с которым алерты, создаваемые по этому правилу сегментации, будут получать название. Значение по умолчанию: {{.Timestamp}}. В поле шаблона можно указывать текст, а также поля события в формате {{.<название поля события>}}. При формировании названия алерта вместо названия поля события будет подставляться его значение. Название алерта, созданного с помощью правил сегментации, имеет следующий формат: <Название правила корреляции, создавшего алерт> <текст из поля шаблона именования алертов> <значение указанного поля события>. Например, если сработавшее правило корреляции называется "Connection. Insecure port usage" и в шаблоне наименования правила сегментации указано {{.Timestamp}}, будут созданы алерты вида:
    • Connection. Insecure port usage (Tue, 29 Jul 2025 07:56:43 UTC)
    • Connection. Insecure port usage (Tue, 29 Jul 2025 07:59:46 UTC)

    Если выполнится несколько правил сегментации с разными шаблонами именования алертов, в названии алерта они будут перечислены через разделительную черту " | ".

  6. При необходимости в раскрывающемся списке Теги выберите теги для правила сегментации событий.
  7. При необходимости в поле Описание укажите описание правила сегментации. Вы можете указать до 4000 символов в кодировке Unicode.

Правило сегментации будет создано. Далее созданное правило сегментации нужно связать с правилом корреляции.

В начало