Перейти к содержанию

Шаблоны группировки

Общие данные

При настройке правила корреляции вы можете использовать заранее подготовленные шаблоны группировки событий.

Группировка выполняется по выбранному полю нормализованного события.

Платформа поддерживает возможность отслеживания и группировки подозрительных событий, следующих одно за другим (цепочки событий).

Для работы с шаблонами группировки перейдите в раздел КорреляторШаблоны группировки (см. рисунок 1).

Рисунок 1 – Раздел "Шаблоны группировки"

В разделе отображается следующая информация:

  • Название – наименование шаблона группировки;
  • Размер окна группировки – временной интервал, в течение которого будет выполняться группировка событий;
  • Порог количества событий для срабатывания – количество событий, по достижению которого в окне группировки, будет срабатывать правило;
  • Обновлено – дата и время изменения информации о шаблоне;
  • Создано – дата и время создания шаблона.

Просмотр шаблона группировки

Для просмотра шаблона нажмите кнопку в нужной строке таблицы или нажмите по ссылке в колонке Название. Откроется представление через боковую панель и форма просмотра выбранного шаблона (см. рисунок 2).

Рисунок 2 – Форма просмотра шаблона группировки

В боковой панели отображается следующая информация о шаблонах:

  • наименование шаблона;
  • дата и время последнего изменения шаблона.

В рабочей области отображается структура данных и внешний вид шаблона.

Создание шаблона группировки

  1. Начните процесс создания шаблона через универсальную таблицу или боковую панель. Откроется окно "Создание шаблона" (см. рисунок 3).

    Рисунок 3 – Окно "Создание шаблона"

  2. Укажите в окне следующую информацию:

    • в поле Название шаблона укажите название шаблона группировки;
    • в поле Группировать по из выпадающего списка выберите поле нормализованного события, по которому будет выполняться группировка. Можно выполнять группировку по нескольким полям;
    • в поле Агрегировать по из выпадающего списка выберите поле нормализованного события, по которому будет выполняться функция агрегации. Можно выполнить агрегацию по нескольким полям;
    • в поле Размер окна группировки укажите временной интервал, в течение которого будет выполняться группировка событий;
    • в поле Порог количества событий для срабатывания укажите количество событий, по достижению которого в окне группировки, будет срабатывать правило;
    • для агрегации только уникальных значений установите соответствующий флаг;
    • в поле Время события из выпадающего списка выберите поле нормализованного события, по которому будет вычисляться время события;
    • в поле Формат времени из выпадающего списка выберите формат времени события.

  3. При необходимости настройте цепочку событий. Для этого установите соответствующий переключатель в положение "Включен" и добавьте условия для цепочки событий нажав на кнопку + Сравнение. Откроется окно "Настроить условие" (см. рисунок 4).

    Рисунок 4 – Окно "Настроить условие"

  4. Укажите в окне "Настроить условие" следующую информацию:

    • В поле Функция сравнения из выпадающего списка выберите функцию Проверить наличие в массиве;

    • В блоке Строка настройте первую часть выражения:

      • в поле Тип выражения выберите необходимый тип выражения, например "Значение из события";
      • в поле Ключ из выпадающего списка выберите поле нормализованного события, по которому будет выявляться цепочка событий.

    • В блоке Массив настройте вторую часть выражения:

      • в поле Тип выражения выберите необходимый тип выражения, например "Массив строк";
      • в поле Значение укажите массив значений, по которым должно проверяться поле, указанное в поле Ключ.

    • В блоке Результат проверьте правильность заданного выражения;

    • Нажмите кнопку Сохранить.

  5. Добавьте необходимое количество условий цепочки событий.

  6. Настройте дополнительные параметры поведения для добавленных условий цепочки событий (см. рисунок 5):

    Рисунок 5 – Параметры условий цепочки событий

    • в поле Количество событий укажите минимальное количество найденных событий, подходящих под условие для "сработки" правила;
    • для включения проверки строго соответствия количества событий установите флаг Точное совпадение количества событий;
    • для отключения проверки по выбранному условия установите переключатель Отсутствует в положение "Включен".

  7. Нажмите кнопку Создать.

Редактирование шаблона группировки

  1. Начните процесс редактирования шаблона через универсальную таблицу или форму просмотра.
  2. Внесите необходимые изменения.
  3. Нажмите кнопку Сохранить.

Дублирование шаблона группировки

  1. Откройте шаблон на просмотр и нажмите кнопку Дублировать. Откроется окно "Дублировать шаблон группировки" (см. рисунок 6).

    Рисунок 6 – Окно "Дублировать шаблон группировки"

  2. Укажите в окне наименование шаблона.

  3. Нажмите кнопку Дублировать.

Удаление шаблона группировки

  1. Начините процесс удаления шаблона через универсальную таблицу или боковую панель.
  2. Подтвердите удаление в открывшемся окне.
  3. Шаблон группировки будет удален из платформы.