Alertes : Ajouter un enrichissement à une règle

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique vous indique comment ajouter une source d'enrichissement précédemment configurée à une règle. Lorsque ESA crée une alerte, elle comprend des informations de la source.

L'ajout d'un enrichissement à une règle vous permet de d'effectuer des recherches dans différentes sources et d'inclure les résultats dans les alertes sortantes pour vous fournir une alerte plus détaillée. Cette procédure nécessite des autorisations de rôle pour Administrateur, DPO et Responsable du SOC.

Procédure

Pour ajouter un enrichissement à une règle :

  1. Dans le menu déroulant Security Analytics, sélectionnez Alertes > Configurer.
  2. Dans la vue Bibliothèque de règles, exécutez l'une des opérations suivantes :
    • Double-cliquez sur une règle.
    • Sélectionnez une règle et cliquez sur Icône Modifier dans la barre d'outils Bibliothèque de règles.
    Le panneau Générateur de règles s'affiche dans un nouvel onglet Security Analytics.
  3. Dans la section Enrichissements, cliquez sur addList.PNG et sélectionnez l'un des types d'enrichissement suivants : 
    • Table en mémoire
    • Référence BD externe
    • Warehouse Analytics
    • GeoIP
    • Remarque :  Si vous utilisez une source GeoIP, ipv4 est renseigné automatiquement et n'est pas modifiable. 

    Les types d'enrichissement sélectionnés s'affichent dans le tableau.
  4. Pour le type d'enrichissement ajouté, procédez comme suit :
    • Dans la colonne Sortie, sélectionnez le type que vous avez configuré.
    • Dans la liste déroulante Source d'enrichissement, sélectionnez la source d'enrichissement définie.
    • Dans le champ Méta de flux d'événements ESA, saisissez la clé méta de flux d'événements dont la valeur sera utilisée comme opérande de la condition de jonction.
      RuleEnrSec.png
    • Dans le champ Nom de la colonne de la source d'enrichissement, saisissez le nom de la colonne de la source d'enrichissement dont la valeur sera utilisée comme autre opérande de la condition de jonction.
  5. Sélectionnez Déboguer. Une annotation @Audit(‘stream’) est ajoutée à la règle. Elle est utile lors du débogage des règles esper.
  6. Cliquez sur Afficher la syntaxe pour tester si la règle ESA définie est valide.
  7. Cliquez sur Save.

Pour plus de détails sur les paramètres et leurs descriptions, reportez-vous à Onglet Générateur de règles.

You are here
Table of Contents > Ajouter une source d'enrichissement de données > Ajouter un enrichissement à une règle

Attachments

    Outcomes