Alertes : Ajouter une règle EPL avancée

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions pour définir les critères de règle en écrivant une requête EPL. EPL est un langage déclaratif qui permet de gérer les données d'événement temporelles très régulières. Il sert à exprimer le filtrage, l'agrégation et les jointures sur des fenêtres potentiellement glissantes de plusieurs flux d'événement. EPL inclut également une sémantique de schéma pour exprimer une causalité temporelle complexe parmi les événements.

Élaborez une règle EPL avancée lorsque les critères de règle sont plus complexes que ce que vous pouvez spécifier dans le générateur de règles.

Notez que ce document n’a pas par pour objet de présenter la syntaxe EPL. 

Conditions préalables

Voici les conditions préalables pour l'ajout d'une règle avancée :

  • Vous devez maîtriser le langage EPL (Event Processing Language).
  • Vous devez maîtriser les annotations ESA pour marquer les instructions EPL liées à la génération d'alertes.

Procédure

Pour ajouter une règle EPL avancée :

  1. Dans le menu Security Analytics, sélectionnez Alertes > Configurer.
  2. Dans la Bibliothèque de règles, sélectionnez addList.PNG > EPL avancé.

    NwAdvRuleTb.png

  3. Saisissez un nom descriptif unique dans le champ Nom de la règle.

    Ce nom s'affichant dans la Bibliothèque de règles, soyez assez spécifique de manière à distinguer la règle des autres.

  4. Dans le champ Description, expliquez les types d'événements que la règle détecte.

    Le début de cette description s'affiche dans la Bibliothèque de règles.

  5. Sélectionnez Règle d'évaluation pour désactiver automatiquement la règle si toutes les règles d'évaluation dépassent collectivement le seuil de mémoire.

    Pour plus de sécurité, utilisez le mode de règle d'évaluation afin de déterminer si une règle s'exécute efficacement et afin d'éviter toute interruption de service liée au manque de mémoire. Pour plus d'informations, consultez Utiliser les règles d'évaluation.

  6. Pour Gravité, utilisez Faible, Moyenne, Élevée ou Critique.
  7. Pour définir les critères de la règle, rédigez une requête dans EPL.

    Remarque : Dans le nom des métaclés, utilisez un trait de soulignement au lieu d'un point. Par exemple, ec_outcome est correct mais pas ec.outcome.

  8. Si une règle doit générer une alerte, incluez cette annotation ESA dans la syntaxe :

    @RSAAlert

    ESA fournit deux annotations. Pour plus d’informations, reportez-vous à Annotations ESA.

You are here
Table of Contents > Ajouter des règles à la Bibliothèque de règles > Ajouter une règle EPL avancée

Attachments

    Outcomes