Alertes : Étape 3. Ajouter des conditions à une instruction de règle

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions pour ajouter des conditions, comme la spécification d'une certaine plage temporelle, à une instruction de règle. Lorsque vous créez une instruction, vous spécifiez les éléments détectés par une règle. Vous ajoutez des conditions pour stipuler d'autres options, comme la fréquence et la date d'application des critères.

Exemple 

Le graphique ci-dessous illustre un exemple de conditions pour deux instructions Générateur de règles. Combinées, les instructions et les conditions forment les critères de la règle.

RBCond5F1S.png

Cette règle détecte 5 tentatives de connexion infructueuses, suivies d'une connexion réussie, qui peut indiquer qu'une personne a piraté le compte utilisateur. Voici les critères de la règle :

  1. Cinq échecs de connexion sont requis.
  2. Une connexion réussie doit suivre les échecs.
  3. Tous les événements doivent se produire dans un délai de 5 minutes.
  4. Les alertes sont regroupées par utilisateur (user_dst), car les étapes A et B doivent être effectuées sur le même compte utilisateur de destination. En outre, les alertes sont regroupées par machine (device_class) pour garantir que l'utilisateur connecté depuis la même machine tente bien de se connecter à un compte à plusieurs reprises.
  5. La correspondance suit un modèle strict, ce qui signifie que le modèle doit correspondre parfaitement, sans intervention d'un événement extérieur.  

Procédure

Pour ajouter des conditions à une instruction de règle :

  1. Dans la section Conditions, sélectionnez une instruction et cliquez sur Icône Modifier.
  2. Pour Se produit, saisissez une valeur pour spécifier le nombre d'occurrences requises pour remplir les critères de la règle.
  3. Si vous disposez de plusieurs instructions, dans le champ Connecteur, sélectionnez un opérateur logique pour associer une instruction à une autre :

    • suivi par
    • non suivi par
    • AND
    • OR
  4. Corrélé le s'applique uniquement à non suivi par.

    Si vous avez sélectionné non suivi de dans la précédente étape, saisissez la clé méta qui ne doit pas suivre.

  5. Si les événements doivent se produire dans un délai spécifique, saisissez le nombre de minutes dans le champ Se produit dans les.
  6. Indiquez si le modèle doit suivre une correspondance de type Strict ou Souple. Si vous spécifiez une correspondance stricte, cela signifie que le modèle doit se produire exactement selon la séquence spécifiée, sans aucun événement supplémentaire dans l'intervalle. Par exemple, si la séquence spécifie cinq échecs de connexion (F) suivis d'une connexion réussie (S), la correspondance à ce modèle n'est effective que si l'utilisateur exécute la séquence suivante : F,F,F,F,F,S. Si vous spécifiez une correspondance souple, cela signifie que d'autres événements peuvent avoir lieu durant la séquence. Toutefois, la règle se déclenche quand même si tous les événements spécifiés se produisent également. Par exemple, le modèle suivant peut être créé par cinq échecs de tentatives de connexion (F), puis n'importe quel nombre intermédiaire de tentatives de connexion réussies (S), puis une tentative de connexion réussie : F,S,F,S,F,S,F,S,F,S qui déclenche la règle malgré les tentatives de connexion réussies dans l'intervalle.  
  7. Choisissez les champs de regroupement dans la liste déroulante. Le champ Regrouper par vous permet de regrouper et d'évaluer les événements entrants. Par exemple, dans la règle qui détecte 5 tentatives de connexion infructueuses, suivies d'une tentative réussie, l'utilisateur doit être identique. Par conséquent, user_dst est la clé méta du champ Regrouper par. Vous pouvez également effectuer un regroupement en fonction de plusieurs clés. Dans l'exemple précédent, vous pouvez effectuer un regroupement par utilisateur et par machine afin de vous assurer que le même utilisateur connecté depuis la même machine tente bien de se connecter à un compte à plusieurs reprises.  Pour cela, vous pouvez grouper par device_class et user_dst.
You are here
Table of Contents > Ajouter des règles à la Bibliothèque de règles > Ajouter une règle Générateur de règles > Étape 3. Ajouter des conditions à une instruction de règle

Attachments

    Outcomes