В KUMA обнаружения создаются при получении последовательности событий, запускающей правило корреляции. Аналитики KUMA создают правила корреляции для проверки входящих событий на предмет возможных угроз безопасности, поэтому при срабатывании правила корреляции появляется предупреждение о возможной вредоносной активности. Сотрудники службы безопасности, ответственные за защиту данных, должны изучить эти обнаружения и при необходимости отреагировать на них.
KUMA автоматически присваивает уровень важности каждому обнаружению. Этот параметр показывает, насколько важны или многочисленны процессы, запустившие правило корреляции. В первую очередь следует обрабатывать обнаружения с более высоким уровнем важности. Значение уровня важности автоматически обновляется при получении новых корреляционных событий, но сотрудник службы безопасности также может задать его вручную. В этом случае уровень важности обнаружения больше не обновляется автоматически.
К обнаружениям привязаны относящиеся к ним события, благодаря чему происходит обогащение обнаружений данными из событий. В KUMA также можно детально анализировать обнаружения.
На основании обнаружений можно создать инциденты.
Работа с обнаружениями в KUMA описана в этом разделе.
В начало