ESM : Créer/modifier un formulaire de groupe

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Le formulaire Créer des groupes de sources d'événements s'affiche lorsque vous créez ou modifiez un groupe de sources d'événements.

Les procédures associées à ce formulaire sont décrites dans Créer des groupes de sources d'événements et Modifier ou supprimer des groupes de sources d'événements.

Parameters

Le tableau suivant décrit les champs du formulaire Modifier/créer un groupe d'événements.

                             
ChampDescription :
Nom du groupe

Ce champ est obligatoire et s'affiche via l'interface utilisateur de Security Analytics en tant qu'identifiant du groupe.

Description :

Description facultative permettant de décrire l'objectif ou les détails du groupe.

Outils

esm_grpRules.png

Les éléments suivants sont disponibles dans la barre d'outils :

  • Ajouter (+) : cliquer sur Ajouter affiche un menu dans lequel vous pouvez choisir d'ajouter une condition ou un groupe.
  • Supprimer (-) : supprime la règle ou le groupe de règles sélectionné de la liste.

Lorsque vous ajoutez un nouveau groupe, des niveaux imbriqués de conditions sont également créés.

Conditions

Décrites ci-dessous dans le tableau Critères de règle.

Annuler / Enregistrer

Les options Annuler et Enregistrer sont disponibles dans le formulaire.

Critères de règle

Les règles que vous spécifiez déterminent les sources d'événements qui feront partie de ce groupe de sources d'événements. Une règle se compose des éléments suivants :

  • Regroupement : comment la règle interagit avec les autres règles
  • Attribut : à quel attribut la règle correspond-t-elle
  • Opérateur : comment la règle correspond à l'attribut
  • Valeur : valeur d'attribut utilisée pour la règle

Le tableau suivant détaille ces constructeurs de règles.

                         
Contructeur de règleDétails
Groupe

Vous pouvez regrouper les conditions afin de créer des règles complexes pour un groupe de sources d'événements. Les choix suivants sont disponibles lors du regroupement de vos règles :

  • Tous : équivalent logique de AND
  • Aucun : équivalent logique de OR
  • Aucun d'entre eux : équivalent logique de NOT

Si vous créez une groupe simple et que vous spécifiez une seule condition, vous pouvez alors conserver la valeur par défaut (Tous) sélectionnée.

Attributs

Contient une liste déroulante composée de tous les attributs de sources d'événements. Les attributs s'affichent en fonction de la section à laquelle ils appartiennent. Par exemple, tous les attributs Identification s'affichent en premier, suivi de Propriétés, Importance, etc.

Opérateur

Choisissez parmi les options suivantes :

  • Est égal à : équivaut à la valeur fournie

  • Différent(e) de : renvoie des sources d'événement dont l'attribut spécifié n'est pas égal à la valeur fournie

  • Dans : fournit une liste de valeurs séparées par des virgules, et des sources d'événement qui correspondent à toutes les valeurs fournies sont incluses. Par exemple :

    Où IP in 10.25.50.146, 10.25.50.248

    Cette condition renvoie des sources d'événement qui possèdent 10.25.50.146 ou 10.25.50.248 en tant qu'attribut IP.

  • Pas dans : semblable à In, mais il correspond aux éléments dont l'attribut n'est égal à aucune des valeurs répertoriées.

  • Semblable à : correspond aux éléments qui commencent par la chaîne fournie. Par exemple :

    Où le Type de Source d'événement comme Apache

    Cette condition renvoie des sources d'événements dont le Type de Source événements commence parApache.

  • Non semblable à : semblable à Like, mais il correspond aux éléments dont l'attribut ne commence pas par la chaîne fournie.

  • Supérieur(e) à : correspond aux éléments dont l'attribut est supérieur à la valeur fournie. Par exemple, si vous spécifiez Priorité supérieure à 5, la condition correspondrait à un élément avec une priorité de 6 ou supérieure.

  • Inférieur(e) à : semblable à Supérieur(e) à. Correspond aux éléments dont l'attribut est inférieur à la valeur fournie.

Valeur

Saisissez une valeur ou un groupe de valeurs. Le type de valeur dépend de l'attribut de la condition. Par exemple, pour IPv6, vous devez spécifier une valeur au format IPv6.

You are here
Table of Contents > Référence > Créer/modifier un formulaire de groupe

Attachments

    Outcomes