# Стандартное правило (standard)

<p class="callout info">**"Обновить параметры"** нужно делать в корреляторе, когда какое-либо правило меняется, чтобы подтянулись актуальные изменения в правилах в коррелятор.</p>

<span style="color: rgb(0,0,0);">**<iframe class="align-center" height="315" src="https://www.youtube.com/embed/TauttDGugBc?si=jw05NxFfgxOuyioY" style="border: 0;" title="YouTube video player" width="560"></iframe>** </span>

**Стандартное правило (standard)** — срабатывает при достижении определенного порогового значения группы событий, которые удовлетворяют условиям селектора, полей группировки событий (на основе значений поля создается группа) и времени жизни контейнера для группы.

Если **частота срабатывания (Rate limiting)** явна не указана, то устанавливается лимит умолчанию - 100 срабатываний в секунду. При превышении лимита правило ничего не делает.

Политика хранения базовых событий (Base events keep policy) - указание, какие из базовых событий должны сохраняться в корреляционном. Возможно указать одно из значений:

- first (по умолчанию) - сохранять только первое базовое событие от каждого селектора в корреляционном событии
- last - сохранять только последнее базовое событие от каждого селектора в корреляционном событии
- all - сохранять все базовые события в корреляционном событии

Типовой пример правила (обнаружение сканирования портов, перебор портов &gt;30 назначения, от одного адреса источника и назначения в течение 60 секунд):

<span style="color: rgb(0,0,0);">[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/a95image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/a95image.png)</span>

Другие подходящие примеры для стандартных правил:

- просто много обращений к опасным URL: с разных компьютеров и к разным URL
- много обращений к одному и тому же опасному URL с разных компьютеров
- много обращений к опасным URL, в том числе разным, с одного компьютера
- много обращений с одного и того же компьютера к одному и тому же опасному URL

Стандартные правила разбивают все анализируемые события на группы (так называемые «корзины», buckets) с совпадающими значениями полей, перечисленных в параметре **Группируемые поля (Identical fields)** и затем обрабатывает каждую группу независимо от других. Критерии срабатывания применяются отдельно в каждой такой группе. Состояние всех групп хранится в памяти коррелятора.

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/9bximage.png)

**Бакет (Окно корреляции):**

<div id="bkmrk--5"></div>
1. Бакет открывается на событие из любого селектора, не важно в каком они порядке в правиле, порядок проверяется после наполнения бакета!
2. Для каждого набора Identical Fields создается свой бакет.
3. Когда событие подпадает под селектор, коррелятор смотрит, есть ли уже бакет с нужным набором полей Identical Fields, если нет - создает, если есть - событие отправляется в существующий.
4. Когда под селектор с Unique fields подпадает событие, то проверяется, есть ли уже в бакете события с таким же набором значений для Unique Fields, если есть, то событие не учитывается.

Пример для Identical Fields с полями RequestUrl и SourceAddress:

![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/M5dimage.png)

В более общем смысле параметр **Время жизни контейнера (Window)** определяет время жизни группы. Принцип такой:

- identical fields определяет, на какие группы разбивать события
- селекторы определяют, какие событие будут включены в группы (если событие не соответствует ни одному селектору, оно не попадет ни в одну группу)
- если событие соответствует селектору и уже есть группа с таким же набором значений идентичных полей, как в событии, событие добавляется в эту группу
- если событие соответствует селектору, но его значения идентичных полей не соответствуют ни одной группе, создается новая группа с временем жизни, заданным параметром Window
- по истечении времени жизни группы, группа удаляется
- если позже поступает новое событие с набором значений идентичных параметров группы, которой больше нет, создается новая группа и отсчет времени жизни начинается заново

Т.е. все свое время жизни (или окно наблюдения) группа накапливает события, после чего удаляется, и накопление событий может начаться заново. Для каждой комбинации значений идентичных полей это происходит параллельно и независимо.

Правило срабатывает, если группа за время жизни накапливает число событий, указанное в параметре **Порог срабатывания (Threshold)** селектора.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/Ewpimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/Ewpimage.png)

В общих настройках стандартного правила есть еще параметр **Уникальные поля (Unique fields)**. Он не является обязательным, но он позволяет считать в группах только события с уникальными значениями выбранных полей. При добавлении событий в группу правило будет сравнивать значение уникальных полей нового события со значениями уникальных полей событий, которые уже есть в группе. Если комбинация значений уникальных полей нового событий уже встречается у одного из событий в группе, новое событие отбрасывается и в группу не попадает.

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/scaled-1680-/qt1image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2024-12/qt1image.png)

Возможные действия (допускается указать одно или более) правила:

<div id="bkmrk--8"></div>- On first threshold — создавать корреляционное событие только после первого превышения порога, а двукратное, трехкратное и т.д. превышение порога за время жизни группы игнорировать. *Например, если при пороге 3 за 30 секунд группа накопит 10 событий, корреляционное событие все равно будет одно - после третьего накопленного события*
- On every threshold — создавать корреляционное событие после каждого превышения порога за время жизни группы. *Если группа накопит 10 событий при пороге 3, будет создано 3 корреляционных события: после 3-го, 6-го и 9-го события в группе*
- On subsequent threshold — создавать корреляционные событие при всех превышениях порога, кроме первого. *Например, при пороге 3 после 6-го, 9-го и т.д. события. Так можно по-разному реагировать на первое переполнение порога и последующие. Например, можно настроить отправлять на вход коррелятора только первое корреляционное событие, но в хранилище писать все. Или пополнять активный список только данными из первого события, а при последующих превышениях порога этого не делать, так как в последующих событиях нет новых артефактов для списка*
- On timeout — в стандартных правилах есть еще возможность настройки действий по окончании времени жизни группы. Это действие используется в связке с опцией **Recovery (Обнуление)** в настройках селектора, в каких случаях это уместно и как именно это работает рассматривается ниже. Обнуляющие селекторы можно использовать и не только с действием onTimeout.

Можно также использовать **несколько селекторов**. Например, несколько неудачных попыток брутфорса (ловится на основе сработки другого правила корреляции) и успешный вход. В общем случае правило, в котором задано несколько селекторов, срабатывает при одновременном превышении порогов во всех селекторах.

Пример правила с несколькими селекторами:

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-12/scaled-1680-/Ofbimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-12/Ofbimage.png)

Можно также **рекавери правило**. Например, когда событие типа «Вредоносное ПО удалено» не обнаружено в течение 5 минут после получения события «Вредоносное ПО обнаружено».

<span style="color: rgb(0,0,0);">[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/scaled-1680-/IDqimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2023-08/IDqimage.png)</span>

Recovery селектор (Обнуление):

1. Бакет открывается только на событие из обычного селектора, на событие из recovery-селектора бакет не открывается никогда!
2. Место нахождения селектора с recovery не имеет значения, как только в бакет попадут все нужные recovery-события бакет будет закрыт!
3. На recovery-селектор не влияет настройка фильтра Order By.
4. Если нужно, чтобы произошло событие А, и не произошло событие Б, при этом событие Б может произойти раньше А, нужно использовать активные листы, т.к. с помощью recovery-селектора такой логики не достичь (см п.1).

#### **<span style="color: rgb(22, 145, 121);"><span style="mso-bookmark: _Ref193805442;"><span style="mso-bookmark: _Ref193805314;">Создание правила корреляции типа </span></span><span style="mso-bookmark: _Toc225510208;"><span style="mso-bookmark: _Ref193805442;"><span style="mso-bookmark: _Ref193805314;"><span lang="EN-US" style="mso-ansi-language: EN-US;">Standard</span></span></span></span></span>**

В качестве примера создадим стандартное правило корреляции для обнаружения 3 (трех) неудачных попыток входа в веб-интерфейс <span lang="EN-US" style="mso-ansi-language: EN-US;">KUMA</span>.

Чтобы настроить правило корреляции типа <span lang="EN-US" style="mso-ansi-language: EN-US;">Standard</span>:

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Перейдите в раздел **Ресурсы** </span>**<span style="font-family: 'Arial',sans-serif; mso-ansi-language: RU;">→</span><span style="mso-ansi-language: RU;"> <span style="mso-spacerun: yes;"> </span>Правила корреляции.</span>**

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">В панели слева выберите ранее созданную папку для пользовательских правил корреляции и далее нажмите **Добавить.**</span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/efwimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/efwimage.png)

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">В появившемся окне **Создание правила корреляции** на вкладке **Общие** укажите:</span>

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span>**<span style="mso-ansi-language: RU;">Название</span>**<span style="mso-ansi-language: RU;"> правила корреляции</span>

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span>**<span style="mso-ansi-language: RU;">Тенант</span>**

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span>**<span style="mso-ansi-language: RU;">Тип </span>**<span style="mso-ansi-language: RU;">(в нашем примере </span>**<span lang="EN-US">standard</span>**<span style="mso-ansi-language: RU;">)</span>

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span>**<span style="mso-ansi-language: RU;">Группирующие поля </span>**<span style="mso-ansi-language: RU;">(в нашем примере это поля </span><span lang="EN-US">DeviceAction</span><span style="mso-ansi-language: RU;">, </span><span lang="EN-US">SourceAddress</span><span style="mso-ansi-language: RU;">, </span><span lang="EN-US">SourceUserName</span><span style="mso-ansi-language: RU;"> и </span><span lang="EN-US">EventOutcome</span><span style="mso-ansi-language: RU;">).</span>

<span style="mso-ansi-language: RU;">Стандартные правила разбивают все поступающие события на группы («бакеты»), с совпадающими значениями полей из **Группирующих полей.** Затем каждая сформировавшаяся группа обрабатывается независимо от других. Критерии срабатывания применяются отдельно в каждой такой группе.</span>

По аналогии с **Наследуемыми полями** правил **<span lang="EN-US" style="mso-ansi-language: EN-US;">Simple</span>** значения полей, перечисленных в **Группирующих полях**, будут скопированы в корреляционное событие.

Какие поля необходимо добавить в группирующие можно «подсмотреть» в примере события или событий, на которые Вы планируете, чтобы срабатывало правило корреляции и создавался алерт.

<span style="mso-ansi-language: RU;"> </span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/QEVimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/QEVimage.png)

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span>**<span style="mso-ansi-language: RU;">Время жизни контейнера </span>**<span style="mso-ansi-language: RU;">(в нашем примере «в течение какого периода времени мы ожидаем 3 неудачные попытки входа»)</span>

<span style="mso-ansi-language: RU;">Время жизни контейнера («бакета») в секундах. Отсчет времени начинается при создании контейнера, когда контейнер получает первое событие.</span>

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span>**<span style="mso-ansi-language: RU;">Уникальные поля </span>**

<span style="mso-ansi-language: RU;">Не является обязательным, но позволяют реализовать более сложную логику правила корреляции. Не рассматривается в данном примере.</span>

<span style="mso-ansi-language: RU;">При добавлении событий в группу («бакет») правило будет сравнивать значение уникальных полей нового события со значениями уникальных полей событий, которые уже есть в группе. Если комбинация значений уникальных полей нового событий уже встречается у одного из событий в группе, новое событие отбрасывается и в группу не попадает.</span>

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span>**<span style="mso-ansi-language: RU;">Политика хранения базовых событий (</span>**<span style="mso-ansi-language: RU;">в нашем примере </span>**<span lang="EN-US">all</span><span style="mso-ansi-language: RU;">)</span>**

<span style="mso-ansi-language: RU;">Позволяет определить, какие базовые события требуется поместить в корреляционное событие.</span>

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span>**<span style="mso-ansi-language: RU;">Уровень важности</span>**<span style="mso-ansi-language: RU;"> (в нашем примере **Высокий**)</span>

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span>**<span style="mso-ansi-language: RU;">Сортировать по </span>**<span style="mso-ansi-language: RU;">(в нашем примере </span>**<span lang="EN-US">Timestamp</span>**<span style="mso-ansi-language: RU;">)</span>

<span style="mso-ansi-language: RU;">Поле события, на основании которого события будут отсортированы в группе («бакете»).</span>

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Опционально **Описание**</span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/W68image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/W68image.png)

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">4.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Перейдите на вкладку **Селекторы,** укажите **Название** селектора, **Порог срабатывания селектора** (количество событий; в нашем примере мы ожидаем 3 события неудачной попытки входа) и добавьте условия (**Добавить условие**) согласно скриншоту ниже. На вкладке **Селекторы** с помощью условий определяется какие события будут включены в группы (если событие не соответствует ни одному селектору, оно не попадет ни в одну группу).</span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/GIlimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/GIlimage.png)

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/MRuimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/MRuimage.png)

Условия можно задавать как в виде **конструктора**, так и в виде **кода**.

Какие поля и их значения необходимо использовать в качестве условий **Селектора** можно «подсмотреть» в примере события, на которое Вы планируете, чтобы срабатывало правило корреляции и создавался алерт.

Для повышения производительности более специфичные условия рекомендуется размещать выше, например, условие <span lang="EN-US" style="mso-ansi-language: EN-US;">DeviceAction</span> = ‘<span lang="EN-US" style="mso-ansi-language: EN-US;">user</span> <span lang="EN-US" style="mso-ansi-language: EN-US;">login</span>’ является более специфичным, чем условие <span lang="EN-US" style="mso-ansi-language: EN-US;">DeviceProduct</span> = ‘<span lang="EN-US" style="mso-ansi-language: EN-US;">KUMA</span>’.

В стандартном правиле можно добавить несколько селекторов.

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">5.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Перейдите на вкладку **Действия,** выберите триггер **На каждом срабатывании правила** (т.е. при каждых трех неудачных попытках входа будет срабатывать правило корреляции и создаваться алерт), установите флажок возле параметра **В дальнейшую обработку** для отправки корреляционного события, создаваемого в результате срабатывания правила корреляции, на хранение в Хранилище**.**</span>

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">6.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Добавьте обогащение, нажав **Добавить обогащение:**</span>

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Укажите **Исходный тип** – **Шаблон**</span>

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">В поле **Шаблон** добавьте следующий текст:</span>

<span style="mso-ansi-language: RU;">Обнаружено 3 (три) неудачные попытки входа в веб-интерфейс </span><span lang="EN-US">KUMA</span><span lang="EN-US" style="mso-ansi-language: RU;"> </span><span style="mso-ansi-language: RU;">под учетной записью </span><span lang="EN-US">{{.SourceUserName}} c IP-</span><span style="mso-ansi-language: RU;">адреса </span><span lang="EN-US">{{.SourceAddress}}</span><span style="mso-ansi-language: RU;"> в течение 60 секунд</span>

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">В поле **Целевое поле** укажите </span>**<span lang="EN-US">Message</span>**

<span style="mso-ansi-language: RU;">Данное обогащение является опциональным и используется для информирования аналитика какое потенциально вредоносное действие было совершено.</span>

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">7.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Нажмите **Создать**.</span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/th0image.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/th0image.png)

После создания правила корреляции необходимо выполнить его привязку к коррелятору:

1. <span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;"><span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Выберите созданное правило корреляции и нажмите **Привязать к коррелятору**.</span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/xtqimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/xtqimage.png)

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">В окне **Корреляторы** выберите сервис Коррелятора, к которому будет привязано правило и нажмите **ОК**.</span>

<span style="mso-ansi-language: RU;"> </span>[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/2dKimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/2dKimage.png)

<span style="mso-ansi-language: RU; mso-no-proof: yes;"> </span>

<span style="mso-ansi-language: RU;"> </span>

Чтобы коррелятор применил изменения конфигурации необходимо обновить параметры сервиса:

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Перейдите в **Ресурсы** </span>**<span style="font-family: 'Arial',sans-serif; mso-ansi-language: RU;">→</span><span style="mso-ansi-language: RU;"> <span style="mso-spacerun: yes;"> </span>Активные сервисы</span>**<span style="mso-ansi-language: RU;">.</span>

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">4.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Нажмите **ПКМ** на сервис Коррелятора и выберите **Обновить параметры**.</span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/dqfimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/dqfimage.png)

Чтобы проверить корректность работы созданного правила корреляции выполните 3 неудачных попытки входа в веб-интерфейс <span lang="EN-US" style="mso-ansi-language: EN-US;">KUMA</span> в течение 60 секунд.

Для проверки, что созданное правило сработало:

<span lang="EN-US" style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light';"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Перейдите в **Алерты.**</span>

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Убедитесь, что в списке алертов присутствует алерт **Обнаружено 3 (три) неудачных попытки входа в веб-интерфейс KUMA**</span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/OwTimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/OwTimage.png)

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">3.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Откройте карточку алерта, нажав на алерт.</span>

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">4.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">В карточке алерта в секции **Связанные события** раскройте созданное корреляционное событие и далее нажмите на корреляционное событие.</span>

[![image.png](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/scaled-1680-/i5iimage.png)](https://kb.kuma-community.ru/uploads/images/gallery/2026-06/i5iimage.png)

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">5.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Убедитесь, что в окне **Информация о корреляционном событии** присутствуют поля, которые при создании правила корреляции были добавлены в **Группирующие поля:**</span>

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">DeviceAction</span>

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">SourceAddress</span>

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">SourceUserName</span>

<span style="font-family: Symbol; mso-fareast-font-family: Symbol; mso-bidi-font-family: Symbol; mso-ansi-language: RU;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">EventOutcome</span>

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">6.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Убедитесь, что в окне **Информация о корреляционном событии** в поле </span>**<span lang="EN-US">Message</span><span lang="EN-US" style="mso-ansi-language: RU;"> </span>**<span style="mso-ansi-language: RU;">добавлен текст согласно ранее настроенному обогащению для информирования аналитика какое потенциально вредоносное действие было совершено.</span>

<span style="mso-fareast-font-family: 'Kaspersky Sans Display Light'; mso-bidi-font-family: 'Kaspersky Sans Display Light'; mso-ansi-language: RU;"><span style="mso-list: Ignore;">7.<span style="font: 7.0pt 'Times New Roman';"> </span></span></span><span style="mso-ansi-language: RU;">Убедитесь, что при раскрытии корреляционного события отображается 3 события неудачной попытки входа, которые стали триггером для срабатывания правила корреляции.</span>

<table border="0" cellpadding="0" cellspacing="0" class="MsoTableGrid" id="bkmrk-%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F-%D0%BE%D0%BD%D0%BB%D0%B0%D0%B9%D0%BD-%D1%81%D0%BF%D1%80%D0%B0%D0%B2%D0%BA" style="border-collapse: collapse; mso-yfti-tbllook: 1184; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt;"><tbody><tr style="mso-yfti-irow: -1; mso-yfti-firstrow: yes; mso-yfti-lastfirstrow: yes; mso-yfti-lastrow: yes;"><td style="width: 510.2pt; border: solid #00A88E 1.5pt; mso-border-themecolor: accent1; padding: 0cm 5.4pt 0cm 5.4pt;" valign="top" width="680"><span style="color: rgb(22, 145, 121);">Статья онлайн-справки «Правила корреляции»:</span>

<span style="color: rgb(22, 145, 121);">**[<span style="font-weight: normal;">https://support.kaspersky.ru/kuma/3.2/217783</span>](https://support.kaspersky.ru/kuma/3.2/217783)**</span>

<span style="color: rgb(22, 145, 121);"> </span>

<span style="color: rgb(22, 145, 121);">KUMA Community правила корреляции в KUMA (CookBook):</span>

<span style="color: rgb(22, 145, 121);">**[<span style="font-weight: normal;">https://kb.kuma-community.ru/books/pravila-korreliacii-v-kuma-cookbook</span>](https://kb.kuma-community.ru/books/pravila-korreliacii-v-kuma-cookbook)**</span>

<span style="color: rgb(22, 145, 121);"> </span>

<span style="color: rgb(22, 145, 121);">Видео «Работа с правилами корреляции»:</span>

<span style="color: rgb(22, 145, 121);">**[<span style="font-weight: normal;">https://rutube.ru/video/cc57b965e06574165617b37ea1d8ac96/?playlist=891489</span>](https://rutube.ru/video/cc57b965e06574165617b37ea1d8ac96/?playlist=891489)**</span>

</td></tr></tbody></table>