Decoder : Corriger les règles dont la syntaxe est obsolète

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Après avoir effectué une mise à jour vers Security Analytics 10.6, l'interface utilisateur met en surbrillance les règles contenant une syntaxe obsolète. Il est important de corriger la syntaxe des règles mises en surbrillance car elles peuvent contenir une syntaxe ambiguë pouvant provoquer des résultats inattendus. L'Éditeur de règles fournit des info-bulles supplémentaires. Une fois les règles corrigées, les mises en surbrillance disparaissent.

Instructions relatives aux règles et requêtes Cette rubrique fournit des instructions que toutes les requêtes et conditions de règle de Security Analytics doivent suivre. Elle fournit également des informations sur la configuration du mode strict, ainsi que sur les syntaxes valide et obsolète.

Procédure

Pour corriger les règles contenant une syntaxe obsolète :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Dans la vue Services, sélectionnez un service Decoder, puis Menu Actions détouré> Vue > Configuration.
  3. Dans la vue Configuration des services, sélectionnez l'un des onglets Règles : Règles réseau, Règles d'application ou Règles de corrélation.
    L'onglet Règles du type de règle sélectionné affiche le nombre de règles utilisant la syntaxe obsolète ; les règles obsolètes sont mises en surbrillance.
    RulesTabDeprRules-D.png
  4. Sélectionnez une règle obsolète et cliquez sur ic-edit.png.
    L'Éditeur de règles affiche des informations supplémentaires pour la règle obsolète et inclut une autre option Enregistrer.
    DeprAppRuleEditor-D.png
  5. Dans le champ Condition, corrigez la syntaxe de la règle.
    Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre ni les adresses IP entre guillemets. Instructions relatives aux règles et requêtes fournit des informations supplémentaires.
    Par exemple, si la condition de règle obsolète est ip.src="10.30.30.30", corrigez la syntaxe supprimant les guillemets : ip.src=10.30.30.30
  6. Exécutez l'une des opérations suivantes :
    • Pour corriger chaque règle, cliquez sur Enregistrer.
      La règle corrigée est appliquée indépendamment au service Decoder. La règle corrigée s'affiche sous l'onglet Règles sans la mise en surbrillance. 
    • Pour corriger la règle et l'appliquer ultérieurement au service Decoder avec d'autres règles, cliquez sur OK.
      La règle corrigée s'affiche sous l'onglet Règles sans la mise en surbrillance. La règle n'est pas appliquée au service Decoder.
You are here
Table of Contents > Procédures supplémentaires > Corriger les règles dont la syntaxe est obsolète

Attachments

    Outcomes