Обзор R-Vision 3.6. Макрокорреляция

Макрокорреляция или корреляция второго уровня позволяет просматривать и обрабатывать инциденты, связанные между собой по определенному признаку. Возможна настройка корреляции инцидентов, произошедших за определенный промежуток времени, связанных с определенным оборудованием, пользователями, документами или по иному признаку.

Это удобно в разных ситуациях. Например, если SIEM-система сгенерила из событий несколько идентичных инцидентов, используя возможности макрокорреляции, можно вести работу сразу по всем этим инцидентам как с одним. Корреляция второго уровня позволяет быстро осуществить ретроспективный поиск по совершенно разным условиям в зависимости от ситуации.

Как настроить правила корреляции второго уровня, мы рассказываем в обзоре:

Поделиться записью: