Reporting : Définir une règle avec la source de données NetWitness

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions pour définir une règle afin d'extraire des données ou événements à partir d'une source de données NetWitness. Vous pouvez définir des règles afin d'extraire des données ou des événements à partir d'une source de données NetWitness. La même procédure permet de définir une règle afin d'extraire des données ou événements à partir d'une source de données Archiver.

Les sources de données Archiver peuvent être ajoutées dans la vue Configuration des services du Reporting Engine. Pour plus d'informations, consultez la section (Facultatif) « Ajouter Archiver comme source de données au Reporting Engine » dans le Guide de configuration de l'hôte et des services.

Conditions préalables

Veillez à :

  • Découvrir quel type de règles doit être utilisé dans la règle. Pour plus d'informations sur les types de règles, reportez-vous à la section Types de règles. Types de règles.
  • Comprendre la syntaxe de règle NWDB. Pour plus d’informations, voir le Syntaxe des règles NWDB
  • Vous comprenez les composants de la vue Règle. Pour plus d’informations, voir le Vue Règle.
  • Découvrez les composants de la vue Élaborer une règle. Pour plus d’informations, voir le Vue Élaborer une règle.
  • Comprendre la manière dont les clés méta personnalisées sont créées à l'aide des feeds personnalisés. Pour plus d'informations, reportez-vous à la rubrique Créer des clés méta personnalisées à l'aide d'un feed personnalisé.  

Procédure

Cette rubrique fournit des instructions pour définir une règle afin d'extraire des données ou événements à partir d'une source de données NetWitness :

  1. Dans le menu Security Analytics, cliquez sur Administration >Rapports.

    L'onglet Gérer s'affiche.

  2. Dans la barre d'outils, cliquez sur  >NetWitnessDB.

    L'onglet de la vue Élaborer une règle s'affiche.

    105_add_rule-tabbd.png

  3. Dans le champ Type de règle, Base de données NetWitness est sélectionné par défaut.
  4. Dans le champ Nom, saisissez un nom utilisé pour identifier ou libeller la règle dans les alertes et rapports.
  5. Le champ Résumé détermine le type de résumé ou d'agrégation correspondant à la règle. En fonction du type de règle à définir, vous devez sélectionner l'une des options suivantes :
    • Pour définir une règle Sans agrégation sans regroupement, sélectionnez : Aucune
    • Pour définir une règle Agrégation avec une agrégation spéciale comme les agrégats associés à une collection (sessions/événements/paquets), sélectionnez l'une des options suivantes :

      • Décompte d'événements
      • Nombre de paquets
      • Taille des sessions
    • Pour définir une règle Agrégation avec des métavaleurs et des agrégats personnalisés tels que sum(), count(), etc., sélectionnez : Custom

      Choisir « Personnalisé » dans le champ Résumé vous permet de définir la fonction d'agrégation de votre choix dans la clause Select. Par exemple, select ip.src, countdistinct(ip.dst), distinct(ip.dst). Les fonctions d'agrégation prises en charge sont les suivantes :

      • sum (<meta>) 
      • count(<meta>)
      • countdistinct(<meta>)
      • min(<meta>)
      • max(<meta>)
      • avg(<meta>)
      • first(<meta>)
      • last(<meta>)
      • len(<meta>)
      • distinct(<meta>)

      Pour plus d'informations détaillées sur les règles agrégées et non agrégées, reportez-vous à Syntaxe des règles NWDB.

  6. Dans le champ Select, saisissez un méta ou sélectionnez-en un dans la liste des types de métas disponibles fournis dans la bibliothèque des méta. Pour plus d'informations, consultez la section Panneau Méta dans Vue Élaborer une règle. Le nom du méta permettant de récupérer le log brut est raw. Il est accessible uniquement dans le champ Select. Il ne peut pas être utilisé dans les champs Where et Then. Plusieurs fonctions d'agrégation sont prises en charge pour la règle d'agrégation personnalisée dans le champ Select.

    Remarque : Dans les versions antérieures de Security Analytics, une seule fonction d'agrégation était prise en charge pour la règle d'agrégation personnalisée dans la clause Select. Désormais, plusieurs fonctions d'agrégation sont prises en charge dans la clause Select. Par exemple, Select: ip.src, username, service, distinct(country.src), sum(payload).

  7. Dans le champ Where, saisissez un méta ou sélectionnez un méta dans la liste des types de méta disponibles, puis utilisez les opérateurs permettant de construire la clause Where pour les critères de requête de base.
  8. Le champ Regrouper par est un champ en lecture seule qui fournit les méta qui sont définis dans la clause Select. Pour une fonction sans agrégation, ce champ n'est pas visible. Un maximum de six méta sont pris en charge dans le champ Regrouper par.

    Remarque : Dans les versions antérieures de Security Analytics, un seul méta était pris en charge pour la règle d'agrégation personnalisée dans la clause Group By. Désormais, un maximum de six méta est pris en charge dans la clause Group By .

  9. Dans le champ Then, saisissez les actions de règle qui manipulent l'ensemble des résultats d'origine d'une règle afin de rendre la sortie du rapport plus concrète ou d'ajouter d'autres fonctionnalités que l'interrogation des données et leur affichage. Par exemple, la création d'un feed issu des résultats. Pour obtenir la liste complète des actions de règle disponibles, reportez-vous à Syntaxe des règles NWDB.

    Remarque : Lorsqu'une règle est exécutée pour une source de données Archiver, il est recommandé de ne pas utiliser les actions de règles intensives pour les requêtes telles que lookup_and_add() et show_whats_new().

  10. Dans le champ Réorganiser par, procédez comme suit :

    1. Dans la colonne Nom de la colonne, saisissez le nom des colonnes dont vous souhaitez trier les résultats. Par défaut, la liste est vide. La valeur est renseignée en fonction de la valeur sélectionnée dans le champ Résumé.

      • Pour la valeur « Aucun » du champ Résumé, si aucune valeur Réorganiser par n'est sélectionnée, par défaut le tri s'effectue en fonction de l'heure de la session ou de la collecte.
      • Pour les valeurs du champ Résumé, le tri par défaut est basé sur le premier méta « group by » sélectionné lorsqu'aucune valeur « order by » n'est définie. Pour les zones Décompte d'événements, Nombre de paquets et Taille des sessions, les valeurs acceptées sont Total et Valeur.
    2. Dans la colonne Trier par, sélectionnez l'une des méthodes suivantes pour trier les résultats :

      • Ordre croissant
      • Ordre décroissant
  11. Dans le seuil de session, saisissez le paramètre d'optimisation qui permet de rechercher chaque valeur unique possible de la métadonnée sélectionnée dans les sessions correspondantes. Le seuil est un nombre entier compris entre 0 (par défaut) et 2147483647.

    Remarque : Cela ne s'applique qu'aux règles agrégées NWDB. Si la valeur par défaut est spécifiée, toutes les sessions correspondantes seront numérisées et la valeur exacte sera retournée. Un seuil de session supérieur permet des comptages précis pour une valeur. Toutefois, cela entraîne la plus longue durée d'exécution de règle. Par exemple, imaginez que vous définissez le seuil de session 1000 pour ip.src. Si 5 000 sessions correspondent à une valeur ip.src particulière qui est présente dans plus de 1 000 sessions, NWDB arrêtera l'analyse après 1 000 sessions et retournera la valeur agrégée extrapolée. Cela optimise le temps d'exécution de la requête. Si la valeur est présente dans moins de 1 000 sessions, la valeur réelle sera retournée.

  12. Dans le champ Limite, saisissez la limite à appliquer à la requête lors de l'extraction des données de la base de données. Si l'ensemble des résultats est trié par nombre d'événements, nombre de paquets ou taille de session, la limite représentera les premières (ou dernières) valeurs N à renvoyer. Si l'ensemble de résultats n'est pas trié, les premières valeurs N sont renvoyées.
  13. Cliquez sur Save.

    Remarque : Contrairement aux méta analysées, les logs bruts sont extraits des Decoders. Si les logs bruts et les méta analysés sont interrogés à l'aide d'une seule règle, à cause des différentes périodes de rétention, les méta analysés pourraient être disponibles et les logs bruts manquants dans la même session. Donc, le résultat aura analysé les métavaleurs et la valeur brute vide pour ces sessions. Par exemple, pour la règle « Select ip.src, ip.dst, service, username, raw », le méta analysé peut être renseigné et le méta raw peut rester vide pour quelques sessions.

Étapes suivantes 

Vous pouvez tester l'exactitude de la règle créée en cliquant sur Tester la règle. Pour plus d’instructions, voir Tester une règle.

You are here
Table of Contents > Utilisation des règles de Reporting > Définir des groupes de règles et des règles > Définir une règle > Définir une règle avec la source de données NetWitness

Attachments

    Outcomes