Alertes : Configurer la table en mémoire en tant que source d'enrichissement

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions sur la configuration d'une table en mémoire. Lorsque vous configurez une table en mémoire, vous téléchargez un fichier .csv en tant qu'entrée de la table. Vous pouvez associer cette table à une règle en tant que source d'enrichissement. Lorsque la règle associée génère une alerte, ESA va enrichir l'alerte avec les informations pertinentes issues de la table en mémoire.

Par exemple, une règle peut être configurée pour détecter lorsqu'un utilisateur tente de télécharger un logiciel gratuit et d'identifier la personne par un ID d'utilisateur dans l'alerte. L'alerte pourrait être enrichie avec des informations supplémentaires provenant d'une table en mémoire qui contient des détails tels que le nom complet, le titre, l'emplacement du bureau et le nombre d'employés.

Une table en mémoire est idéale pour le traitement des données simples. Elle est facile à configurer et nécessite moins de maintenance qu'une base de données. Par exemple, la Société AllTech est une petite organisation, donc l'administrateur système peut gérer les informations des employés dans un fichier .csv. Si la société AllTech se développe en une très grande entreprise, l'administrateur devra configurer une référence de base de données externe en tant qu'enrichissement et associer la base de données à une règle.

Conditions préalables

Le nom de la colonne du fichier .CSV ne peut pas contenir d'espaces.

La première ligne du fichier .CSV doit avoir le format suivant pour chaque colonne :
nom_de_colonne_1 type_de_colonne_1

Par exemple, ces trois colonnes sont formatées correctement :
Chaîne Nom
Chaîne Prénom
Téléphone (entier)

Procédures

Configurer une table en mémoire Adhoc

  1. Dans le menu Security Analytics, sélectionnez Alertes > Configurer.
    La vue Configurer s'affiche avec l'onglet Règles ouvert.
  2. Cliquez sur l'onglet Paramètres.
  3. Dans le panneau d'options, sélectionnez Sources d'enrichissement.
    EnrSources2.png
  4. Dans la section Sources d'enrichissement, cliquez sur addList.PNG  > Table en mémoire.
    IMTblAdhoc.png
  5. Décrire la table en mémoire :
    1. Sélectionnez Adhoc.
    2. Par défaut, Activer est sélectionné. Lorsque vous ajoutez la table en mémoire à une règle, les alertes sont enrichies avec des données.
      Si vous ajoutez la table en mémoire à une règle, mais ne souhaitez pas que les alertes soient enrichies, décochez la case.
    3. Dans le champ Nom de la table définie par l'utilisateur, saisissez un nom, par exemple Informations sur les stagiaires, pour la configuration de la table en mémoire.
    4. Si vous souhaitez expliquer ce que l'enrichissement ajoute à une alerte, saisissez une Description telle que :
      Lorsqu'une alerte est groupée par numéro d'inscription, cet enrichissement ajoute des informations sur les stagiaires, par exemple leur nom et leurs notes. 
  6. Dans le champ Importer les données, sélectionnez le fichier .CSV qui fournira les données à la table en mémoire.
  7. Si vous souhaitez écrire une requête EPL pour définir une configuration de table en mémoire, sélectionnez le Mode Expert.
    Le champ Colonnes du tableau est remplacé par un champ Requête.
  8. Sélectionnez Persistant pour conserver la table en mémoire sur disque lorsque le service ESA s'arrête et pour remplir à nouveau la table lorsque le service redémarre.
  9. Dans la section Colonnes du tableau, cliquez sur Icône Ajouter pour ajouter des colonnes à la table en mémoire. 
  10. Si un fichier valide est sélectionné dans le champ Importer les données, les colonnes sont renseignées automatiquement.

Remarque : Si vous avez sélectionné le mode Expert, un champ Requête s'affichera à la place de Colonnes du tableau.

  1. Dans le menu déroulant Clé, sélectionnez le champ à utiliser comme clé par défaut pour relier les événements entrants à la table en mémoire lors de l'utilisation d'une table en mémoire de type CSV comme enrichissement. Par défaut, la première colonne est sélectionnée.  Vous pouvez également modifier ultérieurement la clé lorsque vous ouvrez la table en mémoire dans les sources d'enrichissement.
  2. Dans le menu déroulant Nbre max. lignes, sélectionnez le nombre maximum de lignes qui peut figurer dans la table en mémoire à une instance particulière.
  3. Cliquez sur Save.
    La table en mémoire adhoc est configurée. Vous pouvez l'ajouter à la règle comme enrichissement ou comme partie de la condition de règle. Reportez-vous à la section Ajouter un enrichissement à une règle.

Lorsque vous ajoutez une table en mémoire, vous pouvez l'ajouter à une règle comme enrichissement ou comme partie de la condition de règle. Par exemple, la règle suivante utilise une table en mémoire comme partie de la condition de règle pour créer une liste blanche. Elle utilise aussi une table de détails en mémoire dans le fichier user_dst pour enrichir l'alerte qui s'affiche. 

La règle présente la table en mémoire sous la forme d'une condition de règle de liste blanche :

in-rule-enrichment.png

Ensuite, l'alerte est enrichie avec la table en mémoire User_list :

post_alert_enrichment.png

La table en mémoire user_dst sert à créer une liste blanche et est aussi utilisée pour enrichir les données dans l'alerte si l'alerte se déclenche. 

Ajouter une table en mémoire récurrente

  1. Dans le menu Security Analytics, sélectionnez Alertes > Configurer.
    La vue Configurer s'affiche avec l'onglet Règles ouvert.
  2. Cliquez sur l'onglet Paramètres.
  3. Dans le panneau d'options, sélectionnez Sources d'enrichissement.
  4. Cliquez sur addList.PNG > Table en mémoire.
  5. Décrire la table en mémoire :
    1. Cliquez sur Récurrent.
    2. Par défaut, Activer est sélectionné. Lorsque vous ajoutez la table en mémoire à une règle, les alertes sont enrichies avec des données.
      Si vous ajoutez la table en mémoire à une règle, mais ne souhaitez pas que les alertes soient enrichies, décochez la case.
    3. Dans le champ Nom de la table définie par l'utilisateur, saisissez un nom, par exemple Informations sur les stagiaires, pour la configuration de la table en mémoire.
    4. Si vous souhaitez expliquer ce que l'enrichissement ajoute à une alerte, saisissez une Description telle que :
      Lorsqu'une alerte est groupée par numéro d'inscription, cet enrichissement ajoute des informations sur les stagiaires, par exemple leur nom et leurs notes.
  6. Saisissez l'URL du fichier CSV qui alimentera la table en mémoire avec des données. Cliquez sur Vérifier pour valider le lien et renseigner les colonnes du fichier .CSV.  Vous pouvez ajouter ou supprimer des colonnes à l'aide du bouton plus ou moins. 
  7. Si le serveur est configuré derrière un autre serveur, sélectionnez Utiliser le proxy.
  8. Si le serveur requiert des informations d'identification pour la connexion, sélectionnez Authentifié
  9. Pour Répéter chaque, indiquez à quelle fréquence ESA doit rechercher la dernière version du fichier .CSV :
    1. Sélectionnez Minute(s), Heure(s), Jour(s) ou Semaine.
    2. Si vous sélectionnez Semaine, sélectionnez le jour de la semaine. 
    3. Cliquez sur Période pour sélectionner une date de début et une date de fin pour le planning récurrent.
      DateStartEnd.png
  10. Sélectionnez Persistant pour conserver la table en mémoire sur disque lorsque le service ESA s'arrête et pour remplir à nouveau la table lorsque le service redémarre.
  11. Dans le menu déroulant Clé, sélectionnez le champ à utiliser comme clé par défaut pour relier les événements entrants à la table en mémoire lors de l'utilisation d'une table en mémoire de type CSV comme enrichissement. Par défaut, la première colonne est sélectionnée.  Vous pouvez également modifier ultérieurement la clé lorsque vous ouvrez la table en mémoire dans les sources d'enrichissement.
  12. Dans le menu déroulant Nbre max. lignes, sélectionnez le nombre de lignes qui peut figurer dans la table en mémoire à une instance particulière.
  13. Cliquez sur Save.
    La table en mémoire récurrente est configurée. Vous pouvez l'ajouter à la règle comme enrichissement ou comme partie de la condition de règle. Voir Ajouter un enrichissement à une règle.
You are here
Table of Contents > Ajouter une source d'enrichissement de données > Sources d'enrichissement > Configurer la table en mémoire en tant que source d'enrichissement

Attachments

    Outcomes