Alertes : Annotations ESA

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit deux annotations Security Analytics utilisables avec les règles EPL avancées.

Annotation @RSAAlert

L'annotation @RSAAlert permet de marquer les instructions EPL liées à la génération d'alertes. Cette annotation est facultative dans les règles avancées et est utile uniquement avec les instructions supposées générer des alertes ESA.

Remarque : Elle n'est pas nécessaire dans toutes les instructions EPL, comme celles qui créent des fenêtres nommées, etc.

Annotation @RSAPersist

L'annotation @RSAPersist permet de marquer une fenêtre nommée en tant que fenêtre gérée ESA à des fins de persistance. Si vous procédez ainsi, ESA enregistre régulièrement le contenu de la fenêtre sur le disque et le restaure si le déploiement de la fenêtre est annulé, puis rétabli. Les systèmes prennent un snapshot juste avant que le déploiement du module soit annulé et que la fenêtre soit supprimée. À l'inverse, il restaure le contenu de la fenêtre à partir du snapshot juste après le redéploiement du module. Cela permet d'éviter la perte du contenu de la fenêtre lorsque l'état du module est altéré ou que le service ESA s'arrête.

Par exemple, supposez que la fenêtre nommée DHCPTracker  contienne un mappage d'adresses IP avec chacun des noms d'hôte attribués. Vous pouvez marquer une instruction avec l'annotation @RSAPersist de la façon suivante :

@RSAPersist
create window DHCPTracker.std:unique(ip_src) as (ip_src string, alias_host string);
insert into DHCPTracker select IP as ip_src, HostName as alias_host from DHCPAssignment(ID=32);

Remarque : Toutes les définitions de fenêtres ne conviennent pas pour la persistance. L'annotation @RSAPersist  doit être utilisée avec précaution. Si la fenêtre inclut des enregistrements basés sur le temps ou si elle dépend de contraintes de temps, il est fort probable que les snapshots rétablis ne permettront pas de la restaurer dans son état approprié. De la même manière, les changements apportés à la définition de la fenêtre invalideront tous les snapshots et affecteront un état vide à la fenêtre. Le système ne génère aucune analyse sémantique pour déterminer si ces changements de la définition de la fenêtre entrent en conflit ou non. Notez que d'autres parties d'un module (autres que l'appel CREATE WINDOW spécifique qui définit la fenêtre) peuvent varier, sans invalider les snapshots.

You are here
Table of Contents > Ajouter des règles à la Bibliothèque de règles > Ajouter une règle EPL avancée > Annotations ESA

Attachments

    Outcomes