Alertes : Onglet Générateur de règles

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

L'onglet Générateur de règles vous permet de définir une règle de type Générateur de règles.

Pour accéder à l'onglet Générateur de règles :

  1. Dans le menu Security Analytics, sélectionnez Alertes > Configurer.

    La vue Configurer s'affiche avec l'onglet Règles ouvert par défaut.

  2. Dans la barre d'outils Bibliothèque de règles, sélectionnez addList.PNG > Générateur de règles.

    L'onglet Générateur de règles s’affiche.

La figure ci-dessous présente l'onglet Générateur de règles.

NwBasRuleTb.png

Fonctions

Le tableau suivant affiche les paramètres de l'onglet Générateur de règles.

                            
ParametersDescription :
Nom de la règleObjectif de la règle ESA.
Description : Récapitulatif des éléments détectés par la règle ESA.
Règle d'évaluationMode de déploiement afin de déterminer si la règle s'exécute efficacement.
Gravité Niveau de menace de l'alerte déclenchée par la règle.

Le Générateur de règles contient les composants suivants :

  • Section Conditions
  • Section Notifications
  • Section Enrichissements

Section Conditions

Dans la section Conditions de l'onglet Générateur de règles, définissez ce que la règle doit détecter.

La figure ci-dessous présente la section Conditions.

RBCond5F1S.png

Le tableau suivant répertorie les paramètres de la section Conditions.

                                                 
ParamètreDescription :
Icône Ajouter Permet d'ajouter une instruction.
Icône  Supprimer Supprime l'instruction sélectionnée.
Icône Modifier Modifie l'instruction sélectionnée.
InstructionGroupe de conditions logiques pour une opération.
Se produitFréquence de l'alerte si la ou les conditions sont réunies. Cela indique que certains événements répondent aux critères pour déclencher une alerte. La période en minutes est liée au nombre défini dans le paramètre Se produit.
ConnectorOptions permettant de spécifier une relation entre les instructions :
  • suivi par
  • non suivi par
  • AND
  • OR
Le connecteur relie les instructions à l'aide des options ET, OU, suivi par, non suivi par. Lorsque le paramètre « suivi par » est utilisé, il désigne un séquençage d'événements. Les paramètres ET et OU permettent d'élargir les critères. Le paramètre « suivi par » crée des critères distincts qui se produisent dans une séquence.
Corrélé(e) leOption relative au connecteur « Non suivi par ». Spécifiez la clé méta pour le champ qui ne doit pas être suivi dans la séquence.
Se produit dans lesPériode de temps pendant laquelle les conditions doivent se produire. 
Séquence d'événements

Indiquez si le modèle doit suivre une correspondance de type Strict ou Souple. Si vous spécifiez une correspondance stricte, cela signifie que le modèle doit se produire exactement selon la séquence spécifiée, sans aucun événement supplémentaire dans l'intervalle. Par exemple, si la séquence spécifie cinq échecs de connexion (F) suivis d'une connexion réussie (S), la correspondance à ce modèle n'est effective que si l'utilisateur exécute la séquence suivante : F,F,F,F,F,S. Si vous spécifiez une correspondance souple, cela signifie que d'autres événements peuvent avoir lieu durant la séquence. Toutefois, la règle se déclenche quand même si tous les événements spécifiés se produisent également. Par exemple, le modèle suivant peut être créé par cinq échecs de tentatives de connexion (F), puis n'importe quel nombre intermédiaire de tentatives de connexion réussies (S), puis une tentative de connexion réussie : F,S,F,S,F,S,F,S,F,S qui déclenche la règle malgré les tentatives de connexion réussies dans l'intervalle. 

Grouper par

Sélectionnez la clé méta par laquelle grouper les résultats à partir de la liste déroulante. Par exemple, imaginez qu'il existe trois utilisateurs : Joe, Jane et John et que vous utilisez la méta Regrouper par, user_dst (user_dst est le champ méta pour le compte utilisateur de destination). Le résultat affiche les événements regroupés sous les comptes utilisateur Joe, Jane et John.

Vous pouvez également grouper par clés multiples. Par exemple, vous pouvez grouper par utilisateur et machine pour vérifier si un utilisateur connecté à la même machine tente de se connecter plusieurs fois à un compte.  Pour cela, vous pouvez grouper par device_class et user_dst.

Notifications

Dans la section Notifications, vous pouvez choisir le mode de notification lorsqu'ESA génère une alerte pour la règle.

Pour plus d'informations sur les notifications d'alertes, reportez-vous à Ajouter une méthode de notification à une règle.

La figure ci-dessous présente la section Notifications.

NotificationAdded.png

                                            
ParamètreDescription :
Pour ajouter un type de notification d'alerte.
Pour supprimer la notification d'alerte sélectionnée.
RésultatType de notification d'alerte. Les options possibles sont :
  • E-mail
  • SNMP
  • Syslog
  • Script
NotificationNom de la sortie précédemment configurée, comme la liste de diffusion d'e-mails.
Serveur de notificationNom du serveur qui envoie la sortie.
ModèleNom du modèle pour la notification d'alerte.
Limite des notifications aux    Option permettant de spécifier la fréquence d'alerte.
MinutesFréquence d'alerte en minutes.

Enrichissements

Dans la section Enrichissements, vous pouvez ajouter une source d'enrichissement de données à une règle.

Pour plus d'informations sur les enrichissements, reportez-vous à Ajouter un enrichissement à une règle.

La figure ci-dessous présente la section Enrichissements.

RuleEnrSec.png

                                 
ParamètreDescription :
ic-addList.PNG Pour ajouter un enrichissement.
Pour supprimer l'enrichissement sélectionné.
RésultatType de source d'enrichissement. Les options possibles sont :
  • Table en mémoire
  • Référence BD externe
  • Warehouse Analytics
  • GeoIP
Source d'enrichissementNom de la source d'enrichissement précédemment configurée, comme un nom de fichier .CSV pour une table en mémoire.
Méta de flux d'événements ESAClé méta ESA dont la valeur sera utilisée en tant qu'opérande de la condition join.
Nom de la colonne de la source d'enrichissement Nom de la colonne de la source d'enrichissement dont la valeur sera utilisée en tant qu'autre opérande de la condition join.

Pour une table en mémoire, si vous avez configuré une clé lors de la création d'un enrichissement basé sur .CSV, cette colonne est générée automatiquement avec la clé sélectionnée. Toutefois, vous pouvez la modifier si vous le souhaitez. 

Pour une source d'enrichissement GeoIP, ipv4 est sélectionné automatiquement. 
Next Topic:Onglet Règles
You are here
Table of Contents > Références > Onglet Générateur de règles

Attachments

    Outcomes