Как работает система фильтрации событий в KOMRAD Enterprise SIEM?

Система фильтрации событий в KOMRAD Enterprise SIEM работает следующим образом: docs.etecs.ru

1. После того, как события получены от источника и прошли процесс нормализации, они попадают в хранилище и коррелятор. docs.etecs.ru
2. Для выбора событий, соответствующих необходимым критериям, используются фильтры (запросы). docs.etecs.ru Они представляют собой набор логических выражений, объединённых между собой операторами И/ИЛИ. docs.etecs.ru
3. Фильтры можно формировать с помощью графического конструктора, который автоматически преобразовывает блоки конструктора в выражение для поиска событий по поставленным условиям. docs.etecs.ru
4. Продвинутые пользователи могут сразу использовать язык Lua, не обращаясь к графическому представлению фильтров. docs.etecs.ru На странице создания фильтров есть встроенное руководство по Lua, объясняющее работу с полями событий и синтаксис языка. docs.etecs.ru

Также для KOMRAD Enterprise SIEM вендор выпускает пакеты экспертиз, доступные для пользователей, которые приобрели расширенную техническую поддержку продукта. www.anti-malware.ru Пакеты экспертиз включают в себя фильтры событий и директивы корреляции. www.anti-malware.ru