از ماژول Policy Management به چند منظور استفاده می شود:
- تعریف نویز به منظور عدم ذخیره Event و Raw log در پایگاه داده
- انجام یک عمل خاص در صورت دریافت یک رخداد خاص (ارسال ایمیل، SMS ، اجرای یک دستور)
- ارسال و یا عدم ارسال لاگ به موتور Correlation
- اعمال محدودیت زمانی در مورد ذخیره رخدادهای مختلف
تب Policies
در جدول زیر آیکون های نوار بالای این تب توضیح داده می شود:
| 1 |
|
ایجاد پالیسی یا نویز |
| 2 |
|
ویرایش پالیسی یا نویز |
| 3 |
|
حذف پالیسی یا نویز |
| 4 |
|
کلون گرفتن از پالیسی یا نویز |
| 5 |
|
اکسپورت گرفتن از لیست پالیسی ها و نویزها |
| 6 |
|
جستجوی پالیسی ها و نویزها |
به منظور تفکیک نویزها و پالیسی ها بهتر است در پنل سمت چپ ماژول، دو گروه مجزا تعریف شود. این عمل با استفاده از دکمه 
صورت می گیرد.
پنجره New Policy
به منظور ایجاد نویز و یا پالیسی می بایست از منوی بالای ابزار گزینه 
انتخاب شود. در ادامه آیتم های مختلف این پنجره توضیح داده می شود:
- Name : نام پالیسی یا نویز
- Group : نام گروه مربوطه که با استفاده از گزینه ایجاد شده است.
- Priority : اولویت و اهمیت پالیسی یا نویز مربوطه را نشان می دهد.
- Is Active : فعال یا غیرفعال بودن پالیسی یا نویز مربوطه را نشان می دهد.
- Is Correlatable : ارسال و یا عدم ارسال رخداد مربوطه به موتور Correlation را نشان می دهد.
- Store Normalized : ذخیره و یا عدم ذخیره Event مربوطه را تعیین می کند.
- Store RawLog : ذخیره و یا عدم ذخیره لاگ خام مربوطه را تعیین می کند.
- تب Conditions : شرط های مربوط به پالیسی یا نویز مربوطه در این قسمت تعریف می گردد.
- تب Actions : در این قسمت امکان تنظیم ایمیل یا SMS در صورت Match شدن پالیسی وجود دارد.
- تب TimeProfile : زمان فعال بودن پالیسی یا نویز مربوطه در این قسمت تعریف می شود.
ایجاد نویز
به منظور ایجاد نویز در پنجره اصلی گزینه انتخاب شود. در پنجره New Policy شرط های مربوط به رخداد مربوطه، وارد شده و گزینه های Store Normalized و Store RawLog در وضعیت 
قرار گیرد.
ایجاد پالیسی
به منظور ایجاد پالیسی در پنجره اصلی گزینه انتخاب شود. در پنجره New Policy شرط های مربوط به رخداد مربوطه، وارد شده و گزینه های Store Normalized و Store RawLog در وضعیت 
قرار گیرد.
تب Retention Policies
در این تب امکان تنظیم تعداد روزهایی که Event ها و Raw Log ها می بایست در پایگاه داده ذخیره شود فراهم است. در پنل سمت چپ همانند تب Policies امکان تعریف گروه پالیسی ها وجود دارد. همچنین در پنل سمت راست نیز امکان انجام عملیات مختلف بر روی پالیسی ها فراهم است. در جدول زیر آیتم های مختلف این پنل توضیح داده می شود:
| ایجاد پالیسی Retention |
|
1 |
| ویرایش پالیسی Retention |
|
2 |
| حذف پالیسی Retention |
|
3 |
| کلون گرفتن از پالیسی Retention |
|
4 |
| اکسپورت گرفتن از پالیسی Retention |
|
5 |
| جستجوی پالیسی ها و نویزها |
|
6 |
پنجره New Retention Policy
با انتخاب گزینه پنجره New Retention Policy باز می شود. در ادامه پارامترهای مختلف این پنجره توضیح داده می شود:
- Name : نام Retention Policy
- Group : تعیین گروه مربوطه
- Repository : مخزن رخدادها : Incident (رخدادهای مربوط به سناریوهای match شده)، Profile (اشاره گرِ رخدادهای مربوط به هر Incident) و Currensic (رخدادها و لاگ های خام سنسورهای افزوده شده) بهتر است برای تمام مخازن Policy تنظیم شده تا بازه زمانی ذخیره رخدادها مشخص گردد.
- Retention Type : نوع رخداد که می تواند Events یا RawLogs باشد. در مورد مخازن Incident و Profile فقط نوع Events معتبر است. در مورد مخزن Currensic هر دو نوع (Events و RawLogs) می بایست تنظیم گردد. بنابراین 4 پالیسی در این تب می بایست ایجاد گردد.
- Retention Days : تعداد روزهایی است که می بایست رخدادها ذخیره گردد.
- Is Active : فعال یا غیرفعال بودن پالیسی را نشان می دهد.
- Description : توضیحات بیشتر در مورد پالیسی مربوطه در این قسمت وارد شود.
معرفی Repository ها
- Currensic: همان حافظه کوتاه مدت است که به منظور ذخیره Log ها و Event های سنسورهای مختلف استفاده می شود.
- Forensic: همان حافظه بلند مدت یا CoreDB است که به منظور ذخیره Log ها و Event های سنسورهای مختلف استفاده می شود.
- Incident: تمام Incident های ایجاد شده توسط سامانه کورلاگ در این حافظه ذخیره می شود.
- Profile: این حافظه شامل اشاره گرهایی است که Event های هر Incident در حافظه کوتاه مدت را مشخص می کند.
- System log: این حافظه مربوط به لاگ های سیستمی سامانه می باشد.
با توجه به توضیحات ارائه شده انتظار می رود 4 پالیسی با تنظیمات زیر ایجاد گردد:
