Управление правилами агрегации

В этом разделе содержится общая информация о правилах агрегации и приведены инструкции о том, как создавать, изменять, дублировать, копировать для другого тенанта и удалять правила агрегации.

Чтобы управлять правилами агрегации, вам нужно иметь одну из следующих XDR-ролей: Главный администратор, Администратор тенанта, Администратор SOC.

Правила агрегации позволяют вам объединять повторяющиеся события других решений "Лаборатории Касперского" в алерты Open Single Management Platform. Алерты либо связаны с существующими инцидентами, либо формируют новые инциденты.

Вы можете создавать и управлять правилами агрегации в свойствах тенанта в разделе Правила агрегации. Правила агрегации отображаются в виде списка. Чем выше находится правило в списке правил агрегации, тем выше его приоритет. Если вы хотите изменить приоритет правила агрегации, вам нужно перетащить правило, нажав на значок ().

Также список содержит предустановленное правило агрегации, созданное специалистами "Лаборатории Касперского". Это правило объединяет события, для которых было активировано одно и то же правило корреляции в течение стандартного интервала агрегации (30 секунд).

Вы не можете удалить предустановленное правило агрегации, но вы можете его изменить. По умолчанию правило включено и всегда отображается в таблице правил агрегации со значением Kaspersky Lab в столбце Создал.

Правила агрегации обрабатываются последовательно в соответствии с указанным приоритетом. При выполнении условия, заданного в разделе Триггер, правило агрегации срабатывает и поиск других подходящих правил агрегации продолжается. Поиск останавливается только после обработки всех правил в списке.

В начало