Alerting: Anotaciones de ESA

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describen dos anotaciones que Security Analytics proporciona para su uso en reglas de EPL avanzado.

Anotación @RSAAlert

La anotación @RSAAlert se utiliza para marcar qué declaraciones EPL están vinculadas para generar alertas. La anotación @RSAAlert es opcional en reglas avanzadas y es útil solo con declaraciones que deben generar alertas de ESA.

Nota: Esta anotación no es necesaria en todas las declaraciones EPL, como las que crean ventanas con nombre, etc.

Anotación @RSAPersist

La anotación @RSAPersist se utiliza para marcar una ventana con nombre como ventana administrada de ESA para obtener persistencia. Al marcar la ventana con nombre como ventana administrada de ESA, ESA escribe periódicamente el contenido de la ventana en el disco y lo restaura si la ventana ya no está implementada y se vuelve a implementar. Los sistemas crean una instantánea justo antes de que se anule la implementación del módulo y se quite la ventana. Por el contrario, restaura el contenido de la ventana desde el snapshot justo después de que el módulo se vuelva a implementar. Esto garantiza que el contenido de la ventana no se pierda si el estado del módulo se altera o si el servicio de ESA queda inactivo.

Por ejemplo, considere una ventana con nombre, DHCPTracker que cuenta con un mapeo desde direcciones IP a cada nombre de host asignado. Puede anotar la declaración con la anotación @RSAPersist como:

@RSAPersist
create window DHCPTracker.std:unique(ip_src) as (ip_src string, alias_host string);
insert into DHCPTracker select IP as ip_src, HostName as alias_host from DHCPAssignment(ID=32);

Nota: Ninguna de las definiciones de ventanas es adecuada para persistencia. La anotación @RSAPersist  se debe utilizar con cuidado. Si la ventana tiene registros con tiempo o si depende de restricciones basadas en tiempo, es muy probable que los snapshots revertidos no la restauren en el estado correcto. Además, cualquier cambio en la definición de la ventana invalidará los snapshots y restablecerá la ventana a un estado en blanco. El sistema no realiza ningún análisis semántico para determinar si los cambios a la definición de la ventana tendrán conflictos o no. Tenga en cuenta que otras partes de un módulo (por ejemplo, aparte de la llamada CREAR VENTANA específica que define la ventana) pueden cambiar, sin invalidar los snapshots.

You are here
Table of Contents > Agregar reglas a la Biblioteca de reglas > Agregar una regla de EPL avanzado > Anotaciones de ESA

Attachments

    Outcomes