Alertes Onglet Nouvelle règle EPL avancée

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit l'onglet Règle ELP avancée qui permet de définir les critères de règle avec une requête EPL (Event Processing Language).

Pour accéder à l'onglet Règle ELP avancée :

  1. Dans le menu Security Analytics, sélectionnez Alertes >Configurer.

    La vue Configurer s'affiche avec l'onglet Règles ouvert par défaut.

  2. Dans la barre d'outils de la Bibliothèque de règles, sélectionnez addList.PNG  >EPL avancé.

    L'onglet Règle ELP avancée s’affiche.

La capture d'écran ci-dessous illustre l'onglet Règle ELP avancée.

NwAdvRuleTb.png

Fonctions

Le tableau suivant affiche les paramètres de l'onglet Règle ELP avancée.

                             
ParametersDescription :
Nom de la règleObjectif de la règle ESA.
Description : Récapitulatif des éléments détectés par la règle ESA.
Règle d'évaluation Mode de déploiement afin de déterminer si la règle s'exécute efficacement.
Gravité Niveau de menace de l'alerte déclenchée par la règle.
QueryRequête EPL qui définit les critères de règle.

Notifications

Dans la section Notifications, vous pouvez choisir le mode de notification lorsqu'ESA génère une alerte pour la règle.

Pour plus d'informations sur les notifications d'alertes, reportez-vous à la rubrique Ajouter une méthode de notification à une règle. Ajouter une méthode de notification à une règle.

La figure ci-dessous présente la section Notifications.

NotificationAdded.png

                                         
ParamètreDescription :
Pour ajouter un type de notification d'alerte.
Pour supprimer le type de notification d'alerte sélectionné.
RésultatType de notification d'alerte. Les options possibles sont :
  • E-mail
  • SNMP
  • Syslog
  • Script
NotificationNom de la sortie précédemment configurée, comme la liste de diffusion d'e-mails.
Serveur de notificationNom du serveur qui envoie la sortie.
ModèleNom du modèle pour la notification d'alerte.
Limite des notifications auxOption permettant de spécifier la fréquence d'alerte.
MinutesFréquence d'alerte en minutes.

Enrichissements

Dans la section Enrichissements, vous pouvez ajouter une source d'enrichissement de données à une règle.

Pour plus d'informations sur les enrichissements, reportez-vous à la section Ajouter un enrichissement à une règle.

La figure ci-dessous présente la section Enrichissements.
RuleEnrSec.png

                                   
ParamètreDescription :

Pour ajouter un enrichissement.

Pour supprimer l'enrichissement sélectionné.

Résultat

Type de source d'enrichissement. Les options possibles sont :

  • Table en mémoire
  • Référence BD externe
  • Warehouse Analytics
  • GeoIP

Source d'enrichissement

Nom de la source d'enrichissement précédemment configurée, comme un nom de fichier .CSV pour une table en mémoire.

Méta de flux d'événements ESA

Clé méta ESA dont la valeur sera utilisée en tant qu'opérande de la condition join.

Nom de la colonne de la source d'enrichissement

Nom de la colonne de la source d'enrichissement dont la valeur sera utilisée en tant qu'autre opérande de la condition join.
Previous Topic:Références
You are here
Table of Contents > Références > Onglet Nouvelle règle EPL avancée

Attachments

    Outcomes