Перейти к содержанию

Коррелятор

Раздел "Коррелятор"

Общее описание раздела "Коррелятор"

Раздел основного меню Платформы Радар "Коррелятор" включает следующие подразделы:

  • Фильтры потока событий - подраздел предназначен для управления фильтрами отбора событий, применяемыми в правилах корреляции;
  • Макросы - подраздел предназначен для управления макросами, применяемыми в правилах корреляции;
  • Правила - подраздел предназначен для управления правилами корреляции;
  • Шаблоны - подраздел предназначен для управления шаблонами алертов и шаблонами группировки
  • Табличные списки - подраздел предназначен для хранения динамических данных, пополняемых пользователем или правилами корреляции;
  • Ретроспективная корреляция - подраздел предназначен для создания задач анализа исторических данных; подробно описано в разделе Управления ретроспективной корреляцией;

Подраздел "Фильтры потока событий"

Подраздел "Фильтры потока событий" предназначен для управления фильтрами событий, использующимися в правилах корреляции (см. рисунок 1).

Подраздел содержит:

  • текущий список фильтров потока событий;
  • функцию поиска фильтров потока событий по наименованию;
  • функцию создания нового фильтра потока событий.


Рисунок 1 -- Рабочая область подраздела "Фильтры потока событий"

Подробно работа с фильтрами потока событий описана в разделе "Управление фильтрами потока событий".

Подраздел "Макросы"

Подраздел "Макросы" предназначен для управления макросами, использующимися в правилах корреляции (см. рисунок 2).

Подраздел содержит:

  • текущий список макросов;
  • функцию поиска макросов по наименованию;
  • функцию создания нового макроса.


Рисунок 2 -- Рабочая область подраздела "Макросы"

Подробно работа с макросами описана в разделе "Управление макросами".

Подраздел "Правила"

Подраздел "Правила" предназначен для управления правилами корреляции, самим коррелятором и диагностикой работы правил корреляции (см. рисунок 3).

Подраздел содержит:

  • текущий список правил корреляции;
  • функцию поиска правил корреляции по наименованию;
  • функцию создания нового правила корреляции.


Рисунок 3 -- Рабочая область подраздела "Правила"

Для каждого правила корреляции доступна информация:

  • наименование правила корреляции;
  • дата последнего изменения правила корреляции;
  • признак активности правила;
  • количество срабатываний.

Подробно работа с правилами корреляции описана в разделе "Управление правилами корреляции".

Подраздел "Шаблоны"

Подраздел "Шаблоны" предназначен для управления шаблонами алертов и группировки (см. рисунок 4). Шаблоны применяются при разработке правил корреляции (см. раздел "Управление правилами корреляции").

Подраздел разделен на две части: шаблоны алертов, шаблоны группировки. Каждая из частей содержит:

  • текущий список шаблонов;
  • функцию поиска шаблона по наименованию;
  • функцию создания нового шаблона.


Рисунок 4 -- Рабочая область подраздела "Шаблоны"

Для каждого шаблона в перечне указывается его наименование.

Подробно работа с шаблонами описана в разделе "Управление шаблонами".

Подраздел "Табличные списки"

Подраздел "Табличные списки" предназначен для создания и хранения пользовательских табличных списков, используемых в правилах корреляции (см. рисунок 5).

Подраздел содержит:

  • текущий список табличных списков;
  • функцию создания нового табличного списка.

Рисунок 5 -- Рабочая область подраздела «Табличные списки»

Текущий список табличных списков представлен в виде таблицы со следующими атрибутами:

  • Название - название табличного списка;
  • Описание - описание табличного списка;
  • Большое - признак большого табличного списка (более миллиона записей);
  • Тип - тип табличного списка;
  • Иконка просмотра табличного списка ;
  • Иконка редактирования табличного списка ;
  • Иконка удаления табличного списка .

Подробно работа с табличными списками описана в разделе "Управление табличными списками"