Reporting : Présentation de la règle

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit une brève description d'une règle. Une règle est le membre basique et essentiel du bloc de construction Reporting. Vous devez créer une règle qui peut être utilisée dans un Rapport, un Graphique ou une Alerte.

Blocs de construction d'une règle

Une règle représente une requête unique qui détecte et récapitule les informations requises dans une collecte de données réseau. Par exemple, vous pouvez écrire une règle pour afficher les 20 premières adresses Web que vos utilisateurs visitent quotidiennement, ou une règle pour détecter la présence d'une authentification de texte claire sur leurs actifs à valeur élevée.

La syntaxe de règle est fortement similaire à celle du Standard Query Language (SQL) où vous pouvez utiliser la clause SELECT, la clause WHERE, les options de tri et de groupe et les limites pour l'ensemble de résultats. Une règle se compose des éléments suivants :

                                           
PropertyDescription :Exemple 
NameNom de la règle.Activité de compte du système Windows
SélectionnerListe de types de métadonnées renvoyés dans l'ensemble de résultats. La liste de types de métadonnées est fournie dans la Librairie de méta. La Librairie de méta dans le Générateur de règles est continuellement synchronisée avec la configuration d'index de l'hôte Security Analytics auquel SA est connecté. Le nombre de types de métadonnées que cette propriété peut représenter dépend de la façon dont la règle doit être triée. Si la propriété Trier par est « Aucun » ou non agrégée, une règle peut avoir plusieurs champs de sélection et, par exemple, inclure les paramètres ip.src, ip.dst, taille et heure dans le résultat de la règle pour chaque correspondance. Si une règle doit être triée, par nombre de sessions, taille de session ou taille de paquet, il ne peut y avoir qu'un seul champ sur lequel effectuer la sélection. 
Clause qui fournit la requête de base pour la règle.alert='cleartext_ftp_passwords'
Then (actions de règle)Série de fonctions qui manipule l'ensemble de résultats original afin de rendre la sortie d'un rapport plus explicite ou d'ajouter de nouvelles fonctionnalités autres que l'interrogation et l'affichage des données. lookup_and_add ('username','ip.src',10);

Trier par

Détermine la façon dont les données sont triées dans l'ensemble de résultats. Les différentes possibilités sont :

  • Total
  • Valeur

Total

LimiteDésigne la taille maximale d'un ensemble de résultats pour la règle donnée. Les utilisateurs doivent noter que si un ensemble de résultats est trié par nombre ou taille, la limite représente les N valeurs supérieures (ou inférieures) à renvoyer. Si l'ensemble de résultats n'est pas trié, les premières valeurs N sont renvoyées.20

Remarque : Dans l'interface utilisateur, la date ou l'heure qui s'affiche dépend du fuseau horaire sélectionné par l'utilisateur.

You are here
Table of Contents > Utilisation des règles de Reporting > Présentation de la règle

Attachments

    Outcomes