Configurer l’ordre logique de corrélation des alertes

  • Rversion finale: Australia
  • Mis à jour 17 juin 2026
  • 1 minute de lecture

    • Améliorez la gestion des alertes en permettant aux utilisateurs de personnaliser l’ordre logique des corrélations. Cette fonctionnalité vous permet d’affiner les méthodes de corrélation en fonction de leurs besoins spécifiques, ce qui améliore la hiérarchisation des alertes et l’efficacité des réponses.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Accédez à la Tous > Propriétés système > Toutes les propriétés.
    2. Recherchez la propriété sa_analytics.agg.query.group_logic_order.
      La valeur par défaut est « MIXED,NETWORK_TRAFFIC,PATTERN,GENERALIZED_PATTERNS,TEXTBASE ». Il s’agit d’une liste séparée par des virgules des types de regroupement dans l’ordre de leur exécution.
      Remarque :
      Si l’un des types de regroupement n’est pas spécifié dans la propriété, il doit être ajouté manuellement. Les règles de corrélation des alertes sont basées sur les déclencheurs et appliquées immédiatement lorsqu’une alerte est créée ou mise à jour, avant les autres algorithmes de regroupement.
      • MIXTE : combinaison de 2 critères de regroupement ou plus
      • NETWORK_TRAFFIC : regroupement du trafic réseau
      • MODÈLE : Regroupement automatisé de schémas basés sur des CI
      • TEXTBASE : regroupement basé sur du texte
    3. Utilisez la propriété sa_analytics.agg.query.group_logic_order pour définir ou modifier l’ordre des méthodes de corrélation en fonction de vos préférences.