Raggruppamento degli avvisi in base agli attributi
L'aggregazione degli avvisi aiuta a identificare gli avvisi che possono essere correlati allo stesso incidente, semplificando il processo di indagine.
Per abilitare la funzionalità di aggregazione degli avvisi, è necessario eseguire le seguenti operazioni:
- Abilitare la sottosezione Avvisi nel menu principale.
- Attivare Administration Server con una licenza di Kaspersky Next XDR Optimum, quindi distribuire la chiave di licenza di Kaspersky Next XDR Optimum nelle applicazioni gestite.
Se si utilizza la licenza di Kaspersky Next EDR Optimum, non è necessario attivare le applicazioni installate nei dispositivi gestiti con la licenza di Kaspersky Next XDR Optimum. È necessario eseguire questa operazione solo per i nuovi dispositivi, se presenti.
Poiché la licenza di Kaspersky Next XDR Optimum supporta la multi-tenancy, è possibile distribuire centralmente la chiave di licenza alle applicazioni gestite. La distribuzione automatica della licenza agli Administration Server secondari e Administration Server virtuali non è supportata.
È possibile aggregare gli avvisi in base al nome del dispositivo, all'account o al nome hash (SHA256).
Gli avvisi vengono aggregati in base a un attributo solo se tale attributo non è vuoto.
Gli avvisi vengono aggregati se condividono almeno un attributo e si verificano entro 24 ore da qualsiasi altro avviso nel gruppo.
Per aggregare gli avvisi in base agli attributi:
- Nel menu principale, accedere a Monitoraggio e generazione dei rapporti → Avvisi.
- Eseguire una delle seguenti operazioni:
- Abilitare l'interruttore Aggregazione avvisi, quindi selezionare uno o più attributi per aggregare gli avvisi in base a:
Gli attributi Nome dispositivo e Account sono selezionati per impostazione predefinita.
- Fare clic sull'icona delle impostazioni (
). Nel riquadro Impostazioni colonne visualizzato, passare alla scheda Raggruppamento. Selezionare ID gruppo di aggregazione e fare clic Salva.
Quando l'aggregazione è abilitata, gli avvisi vengono ordinati in base a Ora evento dal più recente al meno recente. Non sono supportate ulteriori opzioni di ordinamento. La selezione di un gruppo di opzioni diverso disabilita l'aggregazione.
- Abilitare l'interruttore Aggregazione avvisi, quindi selezionare uno o più attributi per aggregare gli avvisi in base a:
La tabella mostra gli avvisi aggregati in base agli attributi, con gli avvisi non aggregati elencati in fondo.
Ogni avviso viene assegnato a un solo gruppo dopo l'aggregazione.
Inizio pagina