Alerting: Pestaña Generador de reglas

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

La pestaña Generador de reglas permite definir una regla del generador de reglas.

Para acceder a la pestaña Generador de reglas:

  1. En el menú de Security Analytics, seleccione Alertas > Configurar.

    La vista Configurar se muestra con la pestaña Reglas abierta de forma predeterminada.

  2. En la barra de herramientas Biblioteca de reglas, seleccione addList.PNG > Generador de reglas.

    Se muestra la pestaña Generador de reglas.

En la siguiente figura se muestra la pestaña Generador de reglas.

NwBasRuleTb.png

Características

En la siguiente tabla se indican los parámetros de la pestaña Generador de reglas.

                            
ParámetrosDescripción
Nombre de la reglaObjetivo de la regla de ESA.
Descripción Resumen de lo que detecta la regla de ESA.
Regla de pruebaModo de implementación para ver si la regla se ejecuta eficientemente.
Gravedad Nivel de amenaza de la alerta que activó la regla.

En la pestaña Generador de reglas se incluyen los siguientes componentes:

  • Sección Condiciones
  • Sección Notificaciones
  • Sección Enriquecimientos

Sección Condiciones

La sección Condiciones de la pestaña Generador de reglas permite definir lo que detecta la regla.

En la siguiente figura se muestra la sección Condiciones.

RBCond5F1S.png

En la siguiente tabla se enumeran los parámetros de la sección Condiciones.

                                                 
ParámetroDescripción
Ícono Agregar Agregue una declaración.
Icono Eliminar Elimine la declaración seleccionada.
Icono Editar Edite la declaración seleccionada.
DeclaraciónGrupo lógico de condiciones para una operación.
OcurreFrecuencia de la alerta si se cumple la condición. Esto especifica que debe haber al menos esa cantidad de eventos que satisfagan los criterios para activar una alerta. La ventana de tiempo en minutos vincula el conteo de Ocurre.
ConnectorOpciones para especificar la relación entre las declaraciones:
  • seguido de
  • no seguido de
  • y
  • O
El conector une dos declaraciones con Y, O, seguido de o no seguido de. Cuando se usa seguido de, especifica que hay una secuencia de esos eventos. Y y O crean un criterio grande. Seguido de crea criterios distintos que ocurren en secuencia.
Correlacionado enOpción para el conector “No seguido de”. Especifique la clave de metadatos del campo que desea asegurarse de que no siga en la secuencia.
ocurre dentro de minutosVentana de tiempo dentro de la cual deben producirse las condiciones. 
Secuencia de eventos

Elija si el patrón debe seguir una coincidencia Estricta o una Flexible. Si especifica una coincidencia estricta, esto significa que el patrón se debe producir en la secuencia exacta que se especificó, sin eventos adicionales entremedio. Por ejemplo, si la secuencia especifica cinco inicios de sesión fallidos (F) seguidos de un inicio de sesión correcto (S), este patrón solo coincidirá si el usuario ejecuta la siguiente secuencia: F, F, F, F, F, S. Si especifica una coincidencia flexible, significa que se pueden producir otros eventos dentro de la secuencia, pero que la regla se activará si también se producen todos los eventos especificados. Por ejemplo, cinco intentos de inicio de sesión fallidos (F), seguidos de un número indeterminado de intentos de inicio de sesión correctos intermedios (S), seguidos de un intento de inicio de sesión correcto pueden crear el siguiente patrón: F, S, F, S, F, S, F, S, F, S, lo cual activará la regla a pesar de los inicios de sesión intermedios correctos. 

Agrupar por

Seleccione la clave de metadatos por la cual se agrupan los resultados en la lista desplegable. Por ejemplo, suponga que hay tres usuarios, Joe, Jane y John, y utiliza los metadatos Agrupar por, user_dst (user_dst es el campo de metadatos para la cuenta de destino de usuario). El resultado mostrará eventos agrupados bajo las cuentas de destino de usuario, Joe, Jane y John.

También puede agrupar por varias claves. Por ejemplo, es posible que desee agrupar por usuario y por máquina para ver si un usuario que inició sesión en la misma máquina intenta iniciar sesión varias veces en una cuenta.  Para hacerlo, puede agrupar por device_class y user_dst.

Notificaciones

En la sección Notificaciones, puede elegir cómo desea que se le informe cuando ESA genere una alerta para la regla.

Para obtener más información sobre las notificaciones de alertas, consulte Agregar un método de notificación a una regla.

En la siguiente figura se muestra la sección Notificaciones.

NotificationAdded.png

                                            
ParámetroDescripción
Para agregar un tipo de notificación de alerta.
Para eliminar la notificación de alerta seleccionada.
SalidaTipo de notificación de alerta. Las opciones son:
  • Correo electrónico
  • SNMP
  • Syslog
  • Script
NotificaciónNombre de la salida configurada con anterioridad, como una lista de distribución de correo electrónico.
Servidor de notificaciónNombre del servidor que envía la salida.
PlantillaNombre de la plantilla para la notificación de la alerta.
Supresión de salida de cada  Opción para especificar la frecuencia de la alerta.
MinutosFrecuencia de la alerta en minutos.

Enriquecimientos

En la sección Enriquecimientos, puede agregar un origen de enriquecimiento de datos a una regla.

Para obtener más información sobre los enriquecimientos, consulte Agregar un enriquecimiento a una regla.

En la siguiente figura se muestra la sección Enriquecimientos.

RuleEnrSec.png

                                 
ParámetroDescripción
ic-addList.PNG Para agregar un enriquecimiento.
Para eliminar el enriquecimiento seleccionado.
SalidaTipo de origen de enriquecimiento. Las opciones son:
  • Tabla en la memoria
  • Referencia de base de datos externa
  • Warehouse Analytics
  • GeoIP
Origen de enriquecimientoNombre del origen de enriquecimiento configurado con anterioridad, como un nombre de archivo .CSV para una tabla en la memoria.
Metadatos de flujos de eventos de ESAClave de metadatos de ESA cuyo valor se usará como un operando de la condición de combinación.
Nombre de columna de origen de enriquecimiento Nombre de la columna de origen de enriquecimiento cuyo valor se usará como otro operando de la condición de combinación.

Para una tabla en la memoria, si configuró una clave cuando creó un enriquecimiento basado en .CSV, esta columna se completa automáticamente con la clave seleccionada. Sin embargo, la puede cambiar si lo desea. 

Para un origen de enriquecimiento GeoIP, ipv4 se selecciona automáticamente. 
Next Topic:Pestaña Reglas
You are here
Table of Contents > Referencias > Pestaña Generador de reglas

Attachments

    Outcomes