Decoder : Onglet Règles de corrélation

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit les fonctionnalités permettant de créer et de gérer les règles de corrélation dans la vue Configuration des services > onglet Règles de corrélation.

L'onglet Règles de corrélation vous permet de gérer les règles de corrélation. Les règles de corrélation de base sont appliquées au niveau de la session et alertent l'utilisateur par rapport à des activités spécifiques pouvant se produire dans leur environnement. Security Analytics applique les règles de corrélation sur une période glissante configurable. 

Étape 4. Configurer les règles de Decoder fournit des informations supplémentaires et Configurer des règles de corrélation fournit des instructions pour la création de règles de corrélation.

La barre d'outils de l'onglet Règles de corrélation est commune à toutes les règles. Vue Configuration des services - onglets Règles fournit des informations sur la barre d'outils et les actions courantes.

Pour accéder à l’onglet Règles de corrélation :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service, puis  ic-actns.png >Vue > Config.
    La vue Configuration pour le service sélectionné s'affiche.
  3. Cliquez sur l’onglet Règles de corrélation.

La figure ci-dessous présente l'onglet Règles de corrélation.

La figure suivante affiche la boîte de dialogue Éditeur de règles pour une règle de corrélation.

104CorrRuleEditor.png

Le tableau suivant décrit les colonnes de l'onglet Règles de corrélation. 

                                     
ColonneDescription :
Pending Cette colonne indique si une règle dispose de modifications en attente. Les règles actuellement actives sur le Decoder ne disposent pas d'indicateur. Si la règle est nouvelle ou a subi une modification, la colonne affiche ic-pending2.png . Lorsque les règles sont appliquées, l'indicateur En attente est supprimé.
Name Il s'agit du nom descriptif de la règle.
Condition Il s'agit de la définition de la condition qui déclenche une action lorsqu'elle est rencontrée.

Dans les conditions, tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre ni les adresses IP entre guillemets. Instructions relatives aux règles et requêtes fournit des informations supplémentaires.
Clé d'instance Il s'agit de l'indicateur cible sur lequel l'événement s'appuie. Il peut s'agit d'une clé primaire unique, telle qu'ip.src, ou d'une clé primaire composée, telle qu'ip.src,ip.dst.
Threshold Il s'agit du nombre minimum d'occurrences requis pour déclencher une session de corrélation, qui peut inclure une clé associée identifiant le type de métadonnée compté pour déterminer si la condition est satisfaite. Le moteur de corrélation ne peut pas utiliser IPv4 ou IPv6 en tant que type de métadonnées associé. Utilisez l'un de ces trois arguments :
  • u_count(associated_key) = nombre de valeurs uniques de la clé spécifiée. Une clé est requise.
  • sum(associated_key) = les valeurs de la clé spécifiée. Une clé est requise.
  • count() = nombre de sessions, aucune clé associée utilisée. S'il est inclus, il est ignoré.
Période Il s'agit de la durée en heures, minutes ou secondes pendant laquelle le seuil doit être atteint pour qu'une session de corrélation soit déclenchée.
État Cette colonne indique si la règle est activée ou désactivée à l'aide d'une icône circulaire. Si le cercle est vert, la règle est activée. Si le cercle est vide, la règle est désactivée.

La boîte de dialogue Éditeur de règles propose les champs et options nécessaires pour définir une règle réseau. Les champs correspondent exactement aux colonnes de grille.

                         
ActionDescription :
Réinitialiser Réinitialise le contenu de la boîte de dialogue aux valeurs précédant la modification ; les modifications sont ignorées.
Annuler Annule toute modification et ferme la boîte de dialogue Éditeur de règles.
OK Enregistre la nouvelle règle ou la règle modifiée, et l'ajoute à la grille de règles. La boîte de dialogue Éditeur de règles se ferme.
Enregistrer (Règles avec une syntaxe obsolète uniquement) Applique une règle corrigée de manière individuelle au service Decoder. Voir Corriger les règles dont la syntaxe est obsolète.
You are here
Table of Contents > Références > Vue Configuration des services - onglet Règles > Onglet Règles de corrélation

Attachments

    Outcomes