Правила корреляции используются для распознавания определенных последовательностей обрабатываемых событий и выполнения определенных действий после распознавания: например, создание корреляционных событий или обнаружений, взаимодействие с активным листом.
Правила корреляции можно использовать в следующих сервисах и функциях KUMA:
Доступные параметры правила корреляции зависят от выбранного типа. Типы правил корреляции:
Этот тип правил используется для определения сложных закономерностей в последовательности событий. Для более простых комбинаций следует использовать другие типы правил корреляции, которые требуют меньше ресурсов.
Для этих ресурсов в полях ввода, кроме поля Описание, можно включить отображение непечатаемых символов.
Если правило корреляции используется в корреляторе и по нему было создано обнаружение, то при изменении правила корреляции существующее обнаружение не будет изменено, даже если перезапустить сервис коррелятора. Например, если у правила корреляции было изменено название, название обнаружения останется прежним. Если существующее обнаружение закрыть, то новое обнаружение будет создано уже с учетом изменений правила корреляции.