Decoder : Onglet Règles réseau

Document created by RSA Information Design and Development Employee on Apr 28, 2019
Version 1Show Document
  • View in full screen mode
 

L'onglet Règles réseau (ADMIN > Services > sélectionnez un Decoder, puis cliquez sur Actions menu > Vue > Config > onglet Règles réseau) vous permet de gérer les règles réseau. NetWitness Platform applique des règles réseau au niveau des paquets. Les règles réseau comprennent les groupes de règles de la couche 2, de la couche 3 et de la couche 4. Plusieurs règles peuvent s'appliquer à Decoder. Les règles peuvent être appliquées à plusieurs couches (par exemple, lorsqu'une règle réseau filtre des ports spécifiques pour une adresse IP spécifique). Les règles réseau ne s'appliquent qu'aux Network Decoder.

Que voulez-vous faire ?

                  
Rôle d'utilisateurJe souhaite...Documentation
Administrateurajouter, modifier ou corriger des règles réseauConfigurer des règles réseau

Rubriques connexes

Aperçu rapide

La figure ci-dessous présente l'onglet Règles réseau.

This is an example of the Network Rules tab.

La figure suivante affiche la boîte de dialogue Éditeur de règles pour une règle réseau.

This is the Rule Editor dialog.

Le tableau suivant décrit les colonnes de la grille Règles réseau.

                                   
ColonneDescription
En attente Cette colonne indique si une règle dispose de modifications en attente. Les règles actuellement actives sur le Decoder ne disposent pas d'indicateur. Si la règle est nouvelle ou a été modifiée, la colonne contient The pending indicator. Une fois que les règles sont appliquées, l'indicateur en attente est supprimé.
Nom Il s'agit du nom de la règle, un identifiant descriptif de la règle.
Condition Il s'agit de la définition de la condition qui déclenche une action lorsqu'elle est rencontrée.
Données de paquet Cette colonne affiche l'action des Données de session qui est réalisée lorsqu'un paquet correspond à la règle. Les valeurs possibles sont Filtrer, Conserver ou Tronquer.
Alerte Cette colonne indique si le Decoder génère une alerte personnalisée lorsque les métadonnées correspondent à la règle. Les valeurs possibles sont Activé ou Désactivé.
État Cette colonne indique si la règle est activée ou désactivée à l'aide d'une icône circulaire. Si le cercle est vert, la règle est activée. Si le cercle est vide, la règle est désactivée.

La boîte de dialogue Éditeur de règles propose les champs et options nécessaires pour définir une règle réseau.

Le tableau suivant décrit les champs Définition de règle.

                   
ChampDescription
Nom de la règle Nom descriptif qui identifie la règle.
Condition Définition de la condition qui déclenche une action lorsqu'elle est remplie. Vous pouvez effectuer votre saisie directement dans le champ ou élaborer la condition dans ce champ à l'aide des métadonnées de la fenêtre Intellisense. Lors de l'élaboration de la définition de règle, Intellisense affiche des erreurs et avertissements de syntaxe.
Dans les conditions, tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre et d'adresses IP entre guillemets.. Configurer les règles de Decoder fournit des informations supplémentaires. Cette section décrit également les clés méta prises en charge par NetWitness Platform pour être utilisées dans les conditions de règle réseau.

Le tableau suivant décrit les actions de la section Données de session.

                           
ActionDescription
Arrêter le traitement d'une règle Si cette option est cochée, aucune nouvelle évaluation de règle ne se produira en cas de correspondance avec la règle, et la session sera enregistrée comme indiqué. Si cette option n'est pas cochée, l'évaluation des règles continue jusqu'à ce que toutes les règles soient évaluées.
Conserver La charge du paquet et les métadonnées associées sont enregistrées lorsqu'elles correspondent à la règle.
Filtrer Le paquet n'est pas enregistré lorsqu'il correspond à la règle.
Tronquer La charge du paquet n'est pas enregistrée lorsqu'elle correspond à la règle, mais les en-têtes des paquets et autres métadonnées associées sont conservées.

Le tableau suivant décrit les options de session. 

                           
ActionDescription
Assembler Si l'option est cochée, l'assembleur assemble la chaîne de paquets lorsqu'elle correspond à la règle.
Méta réseau Le paquet génère des métadonnées réseau lorsqu'il correspond à la règle.
Méta application Le paquet génère des métadonnées d'application lorsqu'il correspond à la règle.
Alerte Le paquet génère une alerte personnalisée lorsque les métadonnées correspondent à la règle.

Le tableau suivant décrit les actions de la boîte de dialogue Éditeur de règles. 

                           
ActionDescription
Réinitialiser Réinitialise le contenu de la boîte de dialogue aux valeurs précédant la modification ; les modifications sont ignorées.
Annuler Annule toute modification et ferme la boîte de dialogue Éditeur de règles.
OK Enregistre la nouvelle règle ou la règle modifiée, et l'ajoute à la grille de règles. La boîte de dialogue Éditeur de règles se ferme.
Enregistrer (Règles avec une syntaxe obsolète uniquement) Applique une règle corrigée de manière individuelle au service Decoder. Reportez-vous à la section Corriger les règles contenant une syntaxe non valide.
You are here
Table of Contents > Références de Decoder et Log Decoder > Vue Configuration des services - onglet Règles réseau

Attachments

    Outcomes