Reporting : Définir une règle avec une source de données Warehouse

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions pour définir une règle afin d'extraire des données ou événements à partir d'une source de données Warehouse. Vous pouvez définir les règles en fonction de deux modes :

  • Mode par défaut
  • Mode Expert

Pour plus d'informations sur les modes, reportez-vous à Modes de définition des règles liées à une base de données Warehouse.

Conditions préalables

Vérifiez que :

  • Découvrez quel type de règles doit être utilisé dans la règle. Pour plus d'informations sur les types de règles, reportez-vous à Types de règles.
  • Vous comprenez les composants de la vue Règle. Pour plus d’informations, voir le Vue Règle.
  • Découvrez les composants de la vue Élaborer une règle. Pour plus d’informations, voir le Vue Élaborer une règle.
  • Comprendre la manière dont les clés méta personnalisées sont créées à l'aide des feeds personnalisés. Pour plus d'informations, reportez-vous à la rubrique Créer des clés méta personnalisées à l'aide d'un feed personnalisé dans le Guide de configuration de l'hôte et des services.

Procédure

Cette rubrique fournit des instructions permettant de définir une règle afin d'extraire des données ou des événements à partir d'une source de données Warehouse :

  1. Dans le menu Security Analytics, cliquez sur Administration > Rapports.

    L'onglet Gérer s'affiche.

  2. Dans la barre d'outils Règle, cliquez sur add_rule_button.png > Base de données Warehouse.
  3. L'onglet de la vue Élaborer une règle s'affiche.
  4. Dans le champ Type de règle, le paramètre Base de données Warehouse est sélectionné par défaut.

    Si vous définissez la règle en mode Par défaut, effectuez les opérations suivantes :

    1. Dans le champ Nom, saisissez un nom utilisé pour identifier ou libeller la règle dans les alertes et rapports.
    2. Dans le champ Sélection, saisissez un méta ou sélectionnez-en un dans la liste des types de métadonnées disponibles fournis dans le panneau Méta. Pour plus d'informations, reportez-vous à la rubrique Panneau Méta dans la vue Élaborer une règle. 
    3. Dans le menu déroulant De, sélectionnez l'une des options suivantes :

      • Session
      • Logs
    4. Dans le champ Alias, saisissez le nom d'alias des colonnes utilisées dans la clause Select.
    5. Dans le champ , saisissez un méta ou sélectionnez-en un dans la liste des types de métadonnées disponibles fournis dans le panneau Méta. La clause Where fournit les critères de requête de base pour la règle.
    6. Dans le champ Regrouper par, saisissez le méta sélectionné dans la clause Select, de sorte que l'ensemble de résultats soit regroupé d'après le méta.
    7. Dans le champ Having, saisissez les critères permettant de filtrer l'ensemble de résultats des requêtes agrégées.
    8. Dans le champ Réorganiser par, procédez comme suit :

      1. Dans la colonne Nom de la colonne, saisissez le nom des colonnes selon lesquelles vous souhaitez regrouper les résultats.
      2. Dans la colonne Trier par, sélectionnez l'une des méthodes suivantes pour trier les résultats :

        • Ordre croissant 
        • Ordre décroissant
    9. Dans le champ Limite, saisissez la limite à appliquer à la requête lors de l'extraction des données à partir de la base de données. Si l'ensemble de résultats est trié par nombre de sessions, nombre de paquets ou taille de session, la limite représente les premières (ou dernières) valeurs N à renvoyer. Si l'ensemble de résultats n'est pas trié, les premières valeurs N sont renvoyées.
    10. Cliquez sur Save.
  5. Si vous définissez la règle en mode Expert, activez la case à cocher Mode Expert et effectuez les opérations suivantes :

    1. Dans le champ Nom, saisissez un nom utilisé pour identifier ou libeller la règle dans les alertes et rapports.
    2. Dans le champ Requête, saisissez l'instruction de requête Hive pour interroger la source de données.
    3. Dans le champ Alias, saisissez le nom d'alias des colonnes utilisées dans la clause Select.
    4. Cliquez sur Save.

Étapes suivantes 

Vous pouvez tester l'exactitude de la règle créée en cliquant sur Tester la règle. Pour plus d’instructions, voir Tester une règle.

You are here
Table of Contents > Utilisation des règles de Reporting > Définir des groupes de règles et des règles > Définir une règle > Définir une règle avec une source de données Warehouse

Attachments

    Outcomes