Decoder : Onglet Règles d'application

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit les fonctionnalités permettant de créer et de gérer les règles d'application dans la vue Configuration des services > onglet Règles d'application.

L'onglet Règles d'application vous permet de gérer les règles d'application. Security Analytics applique des règles d'application au niveau de la session.

Étape 4. Configurer les règles de Decoder fournit des informations supplémentaires et Configurer des règles d'application fournit des instructions pour la création de règles d'application.

La barre d'outils de l'onglet Règles d'application est commune à toutes les règles. Vue Configuration des services - onglets Règles fournit des informations sur la barre d'outils et les actions courantes.

Pour accéder à l’onglet Règles d'application :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Decoder ou Log Decoder, puis  ic-actns.png >Vue > Config.
    La vue Configuration pour le service sélectionné s'affiche.
  3. Cliquez sur l’onglet Règles d'application.

La figure ci-dessous présente l'onglet Règles d'application.

LogDecAppRulesTb.png

Colonnes de l'onglet Règles d'application

                                 
ColonneDescription :
Pending Cette colonne indique si une règle dispose de modifications en attente. Les règles actuellement actives sur le Decoder ne disposent pas d'indicateur. Si la règle est nouvelle ou a subi une modification, la colonne affiche ic-pending2.png . Lorsque les règles sont appliquées, l'indicateur En attente est supprimé.
Name Il s'agit du nom de la règle, un identifiant descriptif de la règle.
Condition Il s'agit de la définition de la condition qui déclenche une action lorsqu'elle est rencontrée.
Donnéesde session Cette colonne affiche l'action des Données de session qui est réalisée lorsqu'un paquet correspond à la règle. Les valeurs possibles sont Filtrer, Conserver ou Tronquer.
Alert Cette colonne affiche le nom de l'alerte personnalisée que le service Decoder génère en cas de correspondance entre les métadonnées et la règle.
État Cette colonne indique si la règle est activée ou désactivée à l'aide d'une icône circulaire. Si le cercle est vert, la règle est activée. Si le cercle est vide, la règle est désactivée.

Boîte de dialogue Éditeur de règles

La figure suivante affiche la boîte de dialogue Éditeur de règles pour une règle d'application.

NetworkRuleEditor.png

La boîte de dialogue Éditeur de règles propose les champs et options nécessaires pour définir une règle d'application. 

                 
ChampDescription :
Nom de la règle Nom descriptif qui identifie la règle.
Condition Définition de la condition qui déclenche une action lorsqu'elle est rencontrée. Vous pouvez effectuer une saisie directement dans le champ ou élaborer une condition dans ce champ à l'aide des métadonnées provenant des actions de la fenêtre Intellisense. Lors de l'élaboration de la définition de règle, Intellisense affiche des erreurs et avertissements de syntaxe.

Tous les horodatages et valeurs littérales de la chaîne doivent être entre guillemets. Ne mettez pas les valeurs de nombre ni les adresses IP entre guillemets. Instructions relatives aux règles et requêtes fournit des informations supplémentaires.

Le tableau suivant décrit les actions et options de la section Données de session.

                                     
ActionDescription :
Arrêter le traitement d'une règle Si cette option est cochée, aucune nouvelle évaluation de règle ne se produira en cas de correspondance avec la règle, et la session sera enregistrée comme indiqué par l'action de la session. Si cette option n'est pas cochée, l'évaluation des règles continue jusqu'à ce que toutes les règles soient évaluées.
Conserver La charge utile du paquet et les métadonnées associées sont enregistrées lorsqu'elles correspondent à la règle.
Filtre Le paquet n'est pas enregistré lorsqu'il correspond à la règle.
Truncate La charge utile du paquet n'est pas enregistrée lorsqu'elle correspond à la règle, mais les en-têtes des paquets et les autres métadonnées associées sont conservés.
Alerter et Alerte activéeSi l'option Alerter est activée, le paquet génère une alerte personnalisée lorsque les métadonnées correspondent à la règle. Vous pouvez sélectionner le nom de l'alerte dans le champ Alerte activée.
Faire suivre Active les performances de transfert Syslog lorsque le log correspond à la règle.
Transitoire Empêche les métadonnées de l'alerte qui est créée d'être écrites sur le disque.


Le tableau suivant décrit les actions de la boîte de dialogue Éditeur de règles. 

                         
ActionDescription :
Réinitialiser Réinitialise le contenu de la boîte de dialogue aux valeurs précédant la modification ; les modifications sont ignorées.
Annuler Annule toute modification et ferme la boîte de dialogue Éditeur de règles.
OK Enregistre la nouvelle règle ou la règle modifiée, et l'ajoute à la grille de règles. La boîte de dialogue Éditeur de règles se ferme.
Enregistrer (Règles avec une syntaxe obsolète uniquement) Applique une règle corrigée de manière individuelle au service Decoder. Voir Corriger les règles dont la syntaxe est obsolète.
You are here
Table of Contents > Références > Vue Configuration des services - onglet Règles > Onglet Règles d'application

Attachments

    Outcomes