Alertes : Boîte de dialogue Créer une instruction

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

La boîte de dialogue Créer une instruction vous permet de créer une instruction de condition lors de la création d'une règle Générateur de règles.

Pour accéder à la boîte de dialogue Créer une instruction :

  1. Dans le menu Security Analytics, sélectionnez Alertes > Configurer.

    La vue Configurer s'affiche avec l'onglet Règles ouvert.

  2. Dans la barre d'outils Bibliothèque de règles, sélectionnez Ajouter une liste déroulante > Générateur de règles.

    Un onglet Nouvelle règle s'affiche dans Security Analytics.

  3. Dans la section Conditions, cliquez sur Icône Ajouter.

    La boîte de dialogue Créer une instruction s'affiche.

BldStmntSimple.png

Fonctions

Le tableau ci-dessous décrit les paramètres de la boîte de dialogue Créer une instruction.

                                                 
ParamètreDescription :
NameObjet de l'instruction.
Sélectionner

Conditions requises par la règle. Deux options sont possibles :

  • Si toutes les conditions sont réunies
  • Si l'une de ces conditions est réunie
Clé Clé pour ESA à enregistrer dans l'instruction de la règle.
Type d'évaluation

Relation entre la clé méta et la valeur de la clé :

  • est
  • n’est pas
  • n'est pas nul
  • est supérieur(e) à (>)
  • est supérieure ou égale à (>=)
  • est inférieur(e) à (<)
  • est inférieure ou égale à (<=)
  • contient
  • ne contient pas
  • commence par
  • se termine par
ValeurValeur pour ESA à rechercher dans la clé.
Ignorer la casse ?

 

Ce champ est conçu pour être utilisé avec les valeurs de chaînes et tableau de chaînes. Si vous choisissez le champ Ignorer la casse, la requête traitera toute chaîne de texte comme étant une valeur minuscule.  Cela permet de garantir qu'une règle qui recherche un utilisateur nommé Johnson se déclenchera si un événement contient « johnson », « JOHNSON » ou « JoHnSoN ».

 Tableau ?

Choix pour indiquer si le contenu du champ Valeur représente une ou plusieurs valeurs :

  • Cochez cette case pour indiquer des valeurs multiples.
  • Décochez cette case pour indiquer une seule valeur.
Icône Ajouter Permet d'ajouter une instruction. Vous pouvez ajouter une condition méta, une condition de liste blanche ou une condition de liste noire. 
Permet de supprimer l'instruction sélectionnée.
EnregistrerPermet d'ajouter une instruction à la section Conditions de l'onglet Générateur de règles.

Le tableau ci‑dessous décrit les opérateurs que vous pouvez utiliser dans le Générateur de règles :

                                                                                                               
OpérateurValeur requiseUtilisationExemple Signification
estValeur de chaîne au singulier La clé méta équivaut au champ valeur. user_dst est John Doe. user_dst est égal à la chaîne « John Doe ».
estValeur de chaîne de tableau La clé méta est égale à l'un des éléments du champ valeur. user_dst est John, Doe, Smith.

user_dst  est égal à la chaîne « John » ou à la chaîne « Doe » ou à la chaîne « Smith » (remarque : les espaces sont supprimés).

n’est pasValeur de chaîne au singulier La clé méta n'est pas équivalente au champ valeur. size n'est pas 200. size n'est pas égale au chiffre 200 (la taille est une valeur numérique).
n’est pasValeur de chaîne de tableau La clé méta n'est égale à aucun élément du champ valeur. size n'est pas 200, 300, 400. size n'est pas égale à 200 ou à 300 ou à 400.
n'est pas nulN/A (ne recherche aucune valeur) La valeur de la clé méta n'est pas nulle. La valeur user_dst n'est pas nulle. La valeur user_dst est une méta contenant une valeur. 
est supérieur(e) à (>)Nombre La valeur numérique de la clé méta est supérieure au nombre du champ valeur. La valeur payload est supérieure à 7000. La valeur payload est une valeur numérique supérieure à 7000.
est supérieure ou égale à (>)Nombre La valeur numérique de la clé méta est supérieure ou égale au nombre du champ valeur. La valeur payload est supérieure ou égale à 7000. La valeur payload est une valeur numérique supérieure ou égale à 7000.
est inférieur(e) à (<)Nombre La valeur numérique de la clé méta est inférieure au nombre du champ valeur. ip_dstport est inférieur à 1024. ip_dstport est une valeur numérique inférieure à 1024.
est inférieure ou égale à (<=)Nombre La valeur numérique de la clé méta est inférieure ou égale au nombre du champ valeur. ip_dstport est inférieur ou égal à 1024. ip_dstport est une valeur numérique inférieure ou égale à 1024.
contientString

Le champ valeur est une sous-chaîne de la clé méta  (cet opérateur n'est valable que pour une clé méta de la valeur d'une chaîne).

ec_outcome comprend « failure ». ec_outcome est une chaîne qui contient la sous-chaîne « failure ».
ne contient pasString

Le champ valeur n'est pas une sous-chaîne de la clé méta (cet opérateur n'est valable que pour une clé méta de la valeur d'une chaîne).

ec_outcome ne comprend pas « failure ». ec_outcome est une chaîne ne contenant pas la sous-chaîne « failure ».
commence parString

Le champ valeur est le début de la clé méta (cet opérateur n'est valable que pour une clé méta de la valeur d'une chaîne).

ip_dst commence par 127.0. ip_dst est une chaîne qui commence par « 127.0 ».
se termine parString

Le champ valeur est la fin de la clé méta (cet opérateur n'est valable que pour une clé méta de la valeur d'une chaîne).

user_dst termine par son. user_dst est une chaîne qui termine par « son ».
Remarque : Les termes en gras et italique sont des méta qui peuvent ne pas exister dans tous les environnements clients.
You are here
Table of Contents > Références > Boîte de dialogue Créer une instruction

Attachments

    Outcomes