R
это мне в раздел про subformula?
Правило корреляции может принимать на вход корреляционное событие
Size: a a a
2020 November 17
s
получается я создаю event и в фильтре прописываю correlation_name? Затем его использую в rule
RS
R
В фильтре можете написать correlation_name == "имя_корреляции"
s
ок, понял, многоуровневая получается корреляция. а то уже попробовал даже такую запись (Event1 and Event2)[N], безуспешно)
s
спасибо))
s
но получается тогда на подправило correlation_name == "имя_корреляции" тоже будут инциденты сыпаться
RS
но получается тогда на подправило correlation_name == "имя_корреляции" тоже будут инциденты сыпаться
это вас смущают лишние события в инциденте?
R
Ну а вы поставьте ему тип другой
R
не инцидент
R
$correlation_type = "event"
s
точно, должно сработать
R
и оно не будет инцидентом, а простым событием по сути
R
Посмотрите правила Bruteforce для примера. Оно сложное, но стоит разобраться как оно работает. Многие "начальные" вопросы отпадают
AS
Как вы понимаете о чем вопрос) я вообще вложенных корреляций не вижу. Выше описан кейс одной корреляции на n событий. Базовый кейс же, откуда там несколько инцидентов или даже коррелированных событий.
s
RB
Посмотрите правила Bruteforce для примера. Оно сложное, но стоит разобраться как оно работает. Многие "начальные" вопросы отпадают
ок, спасибо)
R
Как вы понимаете о чем вопрос) я вообще вложенных корреляций не вижу. Выше описан кейс одной корреляции на n событий. Базовый кейс же, откуда там несколько инцидентов или даже коррелированных событий.
С Заказчиками работаем, часто подобное задается в процессе :)
AS
RB
С Заказчиками работаем, часто подобное задается в процессе :)
Это даже круче чем гадание на скриншотах)
NA
Если Event A и Event B - атомарны и строятся только на исходных событиях, то это реально 1 правило
NA
Загляните в PTшные правила