Правила корреляции типа simple используются для определения простых последовательностей событий.
Окно правила корреляции содержит следующие вкладки параметров:
Вкладка Общие
Если правила корреляции, в которых реализована сложная логика обнаружения закономерностей, не срабатывают, причиной могут быть особенности подсчета срабатываний правила в KUMA. Попробуйте увеличить значение Частота срабатываний, например, до 1000000
.
Низкий
.Вкладка Селекторы
В правиле типа simple может быть только один селектор, для которого доступны вкладки Параметры и Локальные переменные.
Вкладка Параметры содержит параметры с блоком параметров Фильтр:
Фильтрация по данным из поля события Extra
Последовательность условий, заданных в фильтре селектора корреляционного правила, имеет значение и влияет на производительность системы. Мы рекомендуем на первое место в фильтре селектора ставить наиболее уникальный критерий отбора.
Рассмотрим два примера фильтров селектора, осуществляющих выборку событий успешной аутентификации в Microsoft Windows.
Фильтр селектора 1:
Условие 1. DeviceProduct = Microsoft Windows
Условие 2. DeviceEventClassID = 4624
Фильтр селектора 2:
Условие 1. DeviceEventClassID = 4624
Условие 2. DeviceProduct = Microsoft Windows
Последовательность условий, заданная в Фильтре селектора 2, более предпочтительна, поскольку оказывает меньшую нагрузку на систему.
Выбрав вкладку Локальные переменные, с помощью кнопки Добавить переменную можно объявлять переменные, которые будут действовать в пределах этого правила корреляции.
Вкладка Действия
В правиле типа simple может быть только один триггер: На каждом событии. Он активируется каждый раз, когда срабатывает селектор.
Доступные параметры триггера:
Если установлены оба флажка, правило корреляции будет отправлено сначала на постобработку, а затем в селекторы текущего правила корреляции.
Доступные типы обогащения:
Доступные параметры:
Ключ записи активного листа зависит только от состава полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.
Поле не должно содержать специальные символы или только цифры.
Доступные параметры:
Составной ключ записи контекстной таблицы зависит только от значения полей и не зависит от порядка их отображения в веб-интерфейсе KUMA.
Поле не должно содержать название поля, которое уже используется в сопоставлении, табуляцию, специальные символы или только цифры. Максимальное количество символов – 128. Название не может начинаться с символа нижнего подчеркивания.
Вкладка Корреляторы