Grupowanie alertów według atrybutów

Agregacja alertów pomaga identyfikować alerty, które mogą dotyczyć tego samego incydentu, co upraszcza proces dochodzenia.

Aby włączyć funkcję agregacji alertów, należy wykonać następujące czynności:

• Włącz podsekcję Alerty w menu głównym.
• Aktywuj Serwer administracyjny w ramach licencji Kaspersky Next XDR Optimum, a następnie zainstaluj klucz licencyjny Kaspersky Next XDR Optimum w zarządzanych aplikacjach.

  Jeśli korzystasz z licencji Kaspersky Next EDR Optimum, nie musisz aktywować aplikacji zainstalowanych na zarządzanych urządzeniach w ramach licencji Kaspersky Next XDR Optimum. Należy to zrobić wyłącznie w przypadku nowych urządzeń, o ile takie istnieją.
  Ponieważ licencja Kaspersky Next XDR Optimum obsługuje wielodostęp, możesz centralnie dystrybuować klucz licencyjny do zarządzanych aplikacji. Automatyczna dystrybucja licencji do podrzędnych i wirtualnych Serwerów administracyjnych nie jest obsługiwana.

Możesz agregować alerty według nazwy urządzenia, konta lub nazwy skrótu (SHA256).

Alerty są agregowane według atrybutu tylko wtedy, gdy atrybut ten nie jest pusty.

Alerty są agregowane, jeśli mają przynajmniej jeden wspólny atrybut i występują w ciągu 24 godzin od wystąpienia jakiegokolwiek innego alertu w grupie.

Aby agregować alerty według atrybutów:

1. W menu głównym przejdź do Monitorowanie i raportowanie → Alerty.
2. Wykonaj jedną z poniższych czynności:
   • Włącz przełącznik Agregacja alertów, a następnie wybierz jeden lub więcej atrybutów, według których chcesz agregować alerty:
     • Nazwa urządzenia
     • Konto
     • Nazwa hash (SHA256)

     Atrybuty Nazwa urządzenia i Konto są wybierane domyślnie.

   • Kliknij ikonę ustawienia (). W panelu Ustawienia kolumn, który się otworzy, przejdź do zakładki Grupowanie. Wybierz ID grupy agregacji i kliknij Zapisz.

   Po włączeniu agregacji alerty są sortowane według Czas zdarzenia od najnowszych do najstarszych. Dodatkowe opcje sortowania nie są obsługiwane. Wybranie innej opcji grupowania spowoduje wyłączenie agregacji.

Tabela wyświetla alerty zagregowane według atrybutów. Alerty, które nie są zagregowane są wyświetlane na dole tabeli.

Każdy alert po agregacji jest przypisywany tylko do jednej grupy.

Przejdź do góry