Reporting : Vue Élaborer une règle

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubriques décrit les fonctionnalités de la vue Élaborer une règle et les actions que vous pouvez effectuer. Les procédures associées sont fournies sous Règles.

Vous pouvez effectuer les actions suivantes dans le panneau Règle :

  • Définir et enregistrer une règle.
  • Réinitialiser les valeurs de la règle.
  • Tester l'exactitude de la règle.
  • Ajouter la règle à un rapport.
  • Ajouter la règle à une file d'attente d'alertes.
  • Ajouter la règle à un tableau.

Pour accéder à la vue Élaborer une règle :

  1. Dans le menu Security Analytics, cliquez sur Administration > Rapports.
    L'onglet Gérer s'affiche.
  2. Dans la barre d'outils, cliquez sur add_rule_button.png > NetWitnessDB.
    L'onglet de la vue Élaborer une règle s'affiche

La figure suivante donne un exemple de la vue Élaborer une règle.
106_build_rule_view.png

Fonctions 

La vue Élaborer une règle comprend les panneaux suivants :

  • Panneau Règle
  • Panneau Métadonnées
  • Panneau Listes

Panneau Règle

Le panneau Règle vous permet de créer une règle pour le type de base de données sélectionné.

La figure suivante affiche le panneau Règle.
105_build_rule_view1.png

Le tableau suivant décrit les fonctions du panneau Règle.

                                               
FonctionnalitéDescription :
Type de règleListe déroulante des types de bases de données pris en charge pour lesquels vous pouvez créer des règles. Les options sont les suivantes : Bases de données Netwitness, IPDB et Warehouse.
NameNom de la règle que vous créez ou modifiez.
RésuméListe déroulante des options de résumé. Les options sont les suivantes : Aucun, Décompte d'événements, Nombre de paquets, Nombre de sessions et Personnalisé.
SélectionnerClé méta pour laquelle vous avez besoin des valeurs agrégées, par exemple, ip.dest.
Clause Où qui définit les conditions qui déclenchent l'exécution de la règle, par exemple, ip.dest = 127.0.0.1.
Regrouper parMéthode de regroupement des résultats. Par exemple, spécifier ip.dest permet de produire un rapport dans lequel les valeurs ip.dest sont regroupées.
ThenClause Then qui définit les actions des règles pour un traitement supplémentaire sur la sortie.
Réorganiser parMéthode de séquençage utilisée pour afficher les résultats. Par exemple, spécifier Regrouper par la valeur de la colonne Total, Croissant, produit un rapport dans lequel les résultats sont triés par ordre croissant en fonction de la valeur contenue dans la colonne Total.
Seuil de sessionListe de sélection du seuil de session, qui spécifie le nombre maximum de sessions devant être traitées pour les fonctions d'agrégation.
LimiteListe de sélection du nombre maximum de lignes de résultats à extraire.
UtilisationCliquer sur Utiliser vous permet d'utiliser la règle pour générer un rapport, une alerte de graphique.
EnregistrerCliquer sur Enregistrer permet d'enregistrer la règle que vous modifiez ; le panneau Élaborer une règle reste ouvert. Avant de tester une règle, vous devez l'enregistrer si vous souhaitez conserver vos modifications.
RéinitialiserCliquer sur Réinitialiser permet d'effacer toutes les informations contenues dans un champ.
Tester la règle

Permet d'ouvrir la boîte de dialogue Tester la règle.

Boîte de dialogue Tester la règle

Pour accéder à la vue Tester la règle :

  1. Dans le menu Security Analytics, cliquez sur Administration Rapports.
    L'onglet Gérer s'affiche.
  2. Dans le panneau Liste de règles, exécutez l'une des opérations suivantes :
    • Sélectionnez une règle, puis cliquez sur edit_button.png dans la barre d'outils Règles.
    • Cliquez sur  > Modifier.
      L'onglet de la vue Élaborer une règle s'affiche.
  3. Cliquez sur Tester la règle.
    La vue Tester la règle s'affiche.
    Test_rule_page.png

Le tableau suivant décrit les fonctions de la boîte de dialogue Tester la règle.

                          
FonctionnalitéDescription
Source de donnéesListe déroulante des sources de données pour le type de règle que vous testez. Les sources de données possibles sont les suivantes : Concentrator, Broker, Decoder ou Log Decoder.
FormatListe déroulante des formats d'affichage des résultats d'une règle. Les formats possibles sont les suivants : Tabulaire, Zone, Barre, Bulle, Colonne, Linéaire, Sectoriel, Ligne d'escalier, Zone d'escalier, Zone de spline et Spline.
Période

Liste déroulante des méthodes de spécification d'une période.

  • Sélectionner Derniers/Dernières vous permet de spécifier un nombre d'années, de mois, de jours, de semaines ou d'heures. Par exemple,  Heures, jours, semaines, mois ou années.
  • Sélectionner Plage vous permet de spécifier une plage de dates et uen période. Par exemple, une date de début et une date de fin.

Dans l'interface utilisateur, la date ou l'heure qui s'affiche dépend du profil de fuseau horaire sélectionné par l'utilisateur.

Utiliser le calcul de temps relatifLa sélection de cette option permet de calculer la période relative à l'heure actuelle.
Axe X

L'axe X et l'axe Y permettent de spécifier les métadonnées à tracer dans les graphiques.
Dans la liste déroulante de l'axe X, les types de méta du paramètre Group by de la règle s'affichent. Vous pouvez sélectionner plusieurs types de méta lorsque la règle n'a qu'un seul paramètre Group by.
Pour les règles personnalisées avec plusieurs valeurs Group by, vous pouvez sélectionner uniquement le premier type de méta pour l'axe X.

Axe Y

Dans la liste déroulante de l'axe Y, les fonctions agrégées utilisées dans la règle s'affichent. Sommes, Nombre, Countdistinct et Moyenne sont les fonctions agrégées prises en charge pour la règle.
Vous pouvez sélectionner une ou plusieurs fonctions agrégées.

Exécuter le testCliquer sur Exécuter le test permet d'exécuter un test de la dernière règle enregistrée dans la boîte de dialogue Générateur de règles. Une fois le test terminé, les données de la règle (cas échéant) de la période sélectionnée s'affichent.

Panneau Métadonnées

Le panneau Métadonnées fournit la liste des types de métadonnées disponibles que vous pouvez utiliser pour créer une règle. Vous pouvez utiliser les types de métadonnées dans les clauses Select, Where et Then. Le Reporting Engine conserve une liste active des noms de métadonnées disponibles en effectuant une synchronisation continue avec la source de données à laquelle il est connecté.

La figure suivante affiche le panneau Métadonnées.
104_build_rule_panel.png
Le tableau suivant décrit les fonctions du panneau Méta.

           
OpérationDescription
SélectionnerD'après le type de règle que vous avez sélectionné, les sources de données disponibles s'affichent dans la liste déroulante du panneau Métadonnées. Sélectionnez la source de données requise. Les types de méta disponibles pour la source de données s'affichent. Sélectionnez une métadonnée.
FiltreFiltrez la métadonnée selon une valeur spécifique.

Panneau Listes

Une Liste est un espace réservé destiné à un ensemble de valeurs que vous pouvez utiliser dans une métadonnée ou une variable. Par exemple, vous pouvez définir une liste avec toutes les adresses IP de source d'événements sur liste blanche. Une fois la Liste définie, vous pouvez utiliser le Nom de la liste dans la règle. Ceci offre la flexibilité d'ajouter, de modifier et de supprimer les valeurs de liste.

Le panneau Listes présente une collection de Listes. Le Reporting Engine conserve une liste active des noms de listes disponibles en effectuant une synchronisation continue avec la collection à laquelle il est connecté.

La figure suivante affiche le panneau Listes.
104_list_pane.png

Le tableau suivant décrit les fonctions du panneau Listes.

                 
OpérationDescription :
part_of_list_pane.pngImporter ou exporter une liste.
part_of_list_pane.pngSi vous sélectionnez le type de règle Base de données NetWitness, les options Where et Then s'affichent. Insérez la liste dans la clause Where ou Then dans la règle.
part_of_list_pane.pngSi vous sélectionnez le type de règle IPDB, les options Where et Event Source s'affichent. Insérez la liste dans la clause Where ou Event Source dans la règle.
part_of_list_pane.pngSi vous sélectionnez le type de règle Base de données Warehouse, l'option Where s'affiche. Insérez la liste dans la clause Where dans la règle.
You are here
Table of Contents > Références du module Reporting > Références aux règles > Vue Élaborer une règle

Attachments

    Outcomes