Перейти к содержанию

Коррелятор

Раздел "Коррелятор"

Общее описание раздела "Коррелятор"

Раздел основного меню Платформы Радар «Коррелятор» включает следующие подразделы:

  • "Фильтры потока событий" - подраздел предназначен для управления фильтрами отбора событий, применяемыми в правилах корреляции;
  • "Макросы" - подраздел предназначен для управления макросами, применяемыми в правилах корреляции;
  • "Правила" - подраздел предназначен для управления правилами корреляции;
  • "Шаблоны" - подраздел предназначен для управления шаблонами алертов и шаблонами группировки
  • "Табличные списки" - подраздел предназначен для хранения динамических данных, пополняемых пользователем или правилами корреляции;
  • "Ретроспективная корреляция" - подраздел предназначен для создания задач анализа исторических данных; подробно описано в разделе управления ретроспективной корреляцией;

Подраздел "Фильтры потока событий"

Подраздел "Фильтры потока событий" предназначен для управления фильтрами событий, использующимися в правилах корреляции (см. рисунок 1).

Подраздел содержит:

  • Текущий список фильтров потока событий.
  • Функцию поиска фильтров потока событий по наименованию.
  • Функцию создания нового фильтра потока событий.

Рисунок 1 -- Рабочая область подраздела "Фильтры потока событий"

Подробно работа с фильтрами потока событий описана в разделе "Управление фильтрами потока событий"

Подраздел "Макросы"

Подраздел "Макросы" предназначен для управления макросами, использующимися в правилах корреляции (см. рисунок 2).

Подраздел содержит:

  • Текущий список макросов.
  • Функцию поиска макросов по наименованию.
  • Функцию создания нового макроса.

Рисунок 2 -- Рабочая область подраздела "Макросы"

Подробно работа с макросами описана в разделе "Управление макросами"

Подраздел "Правила"

Подраздел "Правила" предназначен для управления правилами корреляции, самим коррелятором и диагностикой работы правил корреляции (см. рисунок 3).

Подраздел содержит:

  • Текущий список правил корреляции.
  • Функцию поиска правил корреляции по наименованию.
  • Функцию создания нового правила корреляции.

Рисунок 3 -- Рабочая область подраздела "Правила"

Для каждого правила корреляции доступна информация:

  • наименование правила корреляции;
  • дата последнего изменения правила корреляции;
  • признак активности правила;
  • количество срабатываний.

Подробно работа с правилами корреляции описана в разделе "Управление правилами корреляции"

Подраздел "Шаблоны"

Подраздел "Шаблоны" предназначен для управления шаблонами алертов и группировки (см. рисунок 4). Шаблоны применяются при разработке правил корреляции (см. раздел "Управление правилами корреляции").

Подраздел разделен на две части: шаблоны алертов, шаблоны группировки. Каждая из частей содержит:

  • Текущий список шаблонов.
  • Функцию поиска шаблона по наименованию.
  • Функцию создания нового шаблона.

Рисунок 4 -- Рабочая область подраздела «Шаблоны»

Для каждого шаблона в перечне указывается его наименование.

Подробно работа с шаблонами описана в разделе "Управление шаблонами"

Подраздел "Табличные списки"

Подраздел "Табличные списки" предназначен для создания и хранения пользовательских табличных списков, используемых в правилах корреляции (см. рисунок 5).

Подраздел содержит:

  • Текущий список табличных списков.
  • Функцию создания нового табличного списка.

Рисунок 5 -- Рабочая область подраздела «Табличные списки»

Текущий список табличных списков представлен в виде таблицы со следующими атрибутами:

  • поле "Название" - название табличного списка;
  • поле "Описание" - описание табличного списка;
  • поле "Большое" - признак большого табличного списка (более миллиона записей);
  • поле "Тип" - тип табличного списка;
  • иконка просмотра табличного списка ;
  • иконка редактирования табличного списка ;
  • иконка удаления табличного списка .

Подробно работа с табличными списками описана в разделе "Управление табличными списками"