Система фильтрации событий в KOMRAD Enterprise SIEM работает следующим образом: 1

1. После того, как события получены от источника и прошли процесс нормализации, они попадают в хранилище и коррелятор. 1
2. Для выбора событий, соответствующих необходимым критериям, используются фильтры (запросы). 1 Они представляют собой набор логических выражений, объединённых между собой операторами И/ИЛИ. 1
3. Фильтры можно формировать с помощью графического конструктора, который автоматически преобразовывает блоки конструктора в выражение для поиска событий по поставленным условиям. 1
4. Продвинутые пользователи могут сразу использовать язык Lua, не обращаясь к графическому представлению фильтров. 1 На странице создания фильтров есть встроенное руководство по Lua, объясняющее работу с полями событий и синтаксис языка. 1

Также для KOMRAD Enterprise SIEM вендор выпускает пакеты экспертиз, доступные для пользователей, которые приобрели расширенную техническую поддержку продукта. 4 Пакеты экспертиз включают в себя фильтры событий и директивы корреляции. 4