Связаться с намиПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ТОО «Облачные Сервисы Казахстан»

Управление правилами корреляции

Статья создана
Обновлена 15 апреля 2026 г.

Примечание

Функциональность находится на стадии Preview. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.

В этом разделе описано, как создавать правила корреляции, управлять их параметрами и выполнять основные операции.

Перед началом работы

Раздел Yandex SIEM появится в интерфейсе Cloud Center как модуль Security Deck после одобрения заявки на доступ.

Для работы с сервисом вам потребуется роль ycem.editor.

Создание правила корреляции

Чтобы создать правило корреляции:

  1. Перейдите в сервис Security Deck.
  2. На панели слева выберите Yandex SIEM.
  3. Перейдите в раздел Правила корреляции.
  4. Нажмите Новое правило.
  5. В поле Условие корреляции введите KQL-запрос. При необходимости используйте шаблоны, схему или датасеты.
  6. В блоке Агрегация укажите ключ агрегации и окно агрегации.
  7. В блоке Действия при срабатывании настройте параметры создаваемого алерта: имя, тип и классификацию.
  8. В блоке Параметры заполните обязательное поле Имя, а также при необходимости — Описание, Класс и Критичность срабатывания.
  9. Нажмите Сохранить.

Редактирование правила

Чтобы изменить параметры правила корреляции:

  1. Перейдите в сервис Security Deck.
  2. На панели слева выберите Yandex SIEM.
  3. Перейдите в раздел Правила корреляции.
  4. В строке нужного правила нажмите значок и выберите Редактировать.
  5. Измените нужные поля.
  6. Нажмите Сохранить.

Выключение правила

Чтобы выключить правило корреляции:

  1. Перейдите в сервис Security Deck.
  2. На панели слева выберите Yandex SIEM.
  3. Перейдите в раздел Правила корреляции.
  4. В строке нужного правила нажмите значок и выберите Выключить.

Выключенное правило переходит в статус Inactive и перестает обрабатывать события.

Сброс изменений

Чтобы сбросить изменения правила до последней развернутой версии:

  1. Перейдите в сервис Security Deck.
  2. На панели слева выберите Yandex SIEM.
  3. Перейдите в раздел Правила корреляции.
  4. В строке нужного правила нажмите значок и выберите Сбросить изменения.

Все несохраненные изменения будут отменены. Правило вернется к последней развернутой конфигурации.

Удаление правила

Удалить можно только пользовательские правила. Предустановленные правила удалить нельзя.

Чтобы удалить пользовательское правило корреляции:

  1. Перейдите в сервис Security Deck.
  2. На панели слева выберите Yandex SIEM.
  3. Перейдите в раздел Правила корреляции.
  4. В строке нужного правила нажмите значок и выберите Удалить.
  5. Подтвердите удаление.

Важно

Удаление правила необратимо. Все настройки правила будут удалены.

См. также

Предыдущая
Обзор
Следующая
Работа со списком правил