Decoder : Onglet Règles de corrélation

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

L'onglet Règles de corrélation (ADMIN > Services> , sélectionnez un service et cliquez sur The actions drop-down menu > Vue > Config > onglet Règles de corrélation) vous permet de gérer les règles de corrélation. Les règles de corrélation de base sont appliquées au niveau de la session et alertent l'utilisateur par rapport à des activités spécifiques pouvant se produire dans leur environnement. NetWitness Platform applique les règles de corrélation sur une période glissante configurable. 

Que voulez-vous faire ?

                  
Rôle d'utilisateurJe souhaite...Documentation
Administrateurajouter ou modifier une règle de corrélationConfigurer des règles de corrélation

Rubriques connexes

Aperçu rapide

La figure ci-dessous présente l'onglet Règles de corrélation.

La figure suivante affiche la boîte de dialogue Éditeur de règles pour une règle de corrélation.

This is the Rule Editor dialog.

Le tableau suivant décrit les colonnes de l'onglet Règles de corrélation.

                                       
ColonneDescription
En attente Cette colonne indique si une règle dispose de modifications en attente. Les règles actuellement actives sur le Decoder ne disposent pas d'indicateur. Si la règle est nouvelle ou a subi une modification, la colonne affiche The pending icon . Lorsque les règles sont appliquées, l'indicateur En attente est supprimé.
Nom Il s'agit du nom descriptif de la règle.
Condition Il s'agit de la définition de la condition qui déclenche une action lorsqu'elle est rencontrée.

Dans les conditions, tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre et adresses IP entre guillemets. Configurer les règles de Decoder fournit des informations supplémentaires.
Clé d'instance Il s'agit de l'indicateur cible sur lequel l'événement s'appuie. Il peut s'agit d'une clé primaire unique, telle qu'ip.src, ou d'une clé primaire composée, telle qu'ip.src,ip.dst.
Seuil Il s'agit du nombre minimum d'occurrences requis pour déclencher une session de corrélation, qui peut inclure une clé associée identifiant le type de métadonnée compté pour déterminer si la condition est satisfaite. Le moteur de corrélation ne peut pas utiliser IPv4 ou IPv6 en tant que type de métadonnées associé. Utilisez l'un de ces trois arguments :
  • u_count(associated_key) = nombre de valeurs uniques de la clé spécifiée Une clé est requise.
  • sum(associated_key) = les valeurs de la clé spécifiée. Une clé est requise.
  • count() = nombre de sessions, aucune clé associée utilisée. S'il est inclus, il est ignoré.
Période Il s'agit de la durée en heures, minutes ou secondes pendant laquelle le seuil doit être atteint pour qu'une session de corrélation soit déclenchée.
État Cette colonne indique si la règle est activée ou désactivée à l'aide d'une icône circulaire. Si le cercle est vert, la règle est activée. Si le cercle est vide, la règle est désactivée.

La boîte de dialogue Éditeur de règles propose les champs et options nécessaires pour définir une règle réseau. Les champs correspondent exactement aux colonnes de grille.

                           
ActionDescription
Réinitialiser Réinitialise le contenu de la boîte de dialogue aux valeurs précédant la modification ; les modifications sont ignorées.
Annuler Annule toute modification et ferme la boîte de dialogue Éditeur de règles.
OK Enregistre la nouvelle règle ou la règle modifiée, et l'ajoute à la grille de règles. La boîte de dialogue Éditeur de règles se ferme.
Enregistrer (Règles avec une syntaxe obsolète uniquement) Applique une règle corrigée de manière individuelle au service Decoder. Reportez-vous à la section Corriger les règles contenant une syntaxe non valide.
You are here
Table of Contents > Références de Decoder et Log Decoder > Vue Configuration des services - onglet Règles de corrélation

Attachments

    Outcomes