Alerting: Cuadro de diálogo Crear una declaración

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

El cuadro de diálogo Crear una declaración permite construir una declaración de condición cuando se crea una nueva regla del generador de reglas.

Para acceder al cuadro de diálogo Crear una declaración:

  1. En el menú de Security Analytics, seleccione Alertas > Configurar.

    La vista Configurar se muestra con la pestaña Reglas abierta.

  2. En la barra de herramientas Biblioteca de reglas, seleccione Menú desplegable Agregar > Generador de reglas.

    Se muestra la pestaña Nueva regla en Security Analytics.

  3. En la sección Condiciones, haga clic en Ícono Agregar.

    Se muestra el cuadro de diálogo Crear una declaración.

BldStmntSimple.png

Características

En la siguiente tabla se describen los parámetros del cuadro de diálogo Crear una declaración.

                                                 
ParámetroDescripción
NombrePropósito de la declaración.
Seleccionar

Condiciones que requiere la regla. Existen dos opciones:

  • Si se cumplen todas las condiciones
  • Si se cumple una de estas condiciones
Clave Clave que ESA debe comprobar en la declaración de la regla.
Tipo de evaluación

Relación entre la clave de metadatos y el valor de la clave:

  • es
  • no es
  • no es nulo
  • es mayor que (>)
  • es mayor o igual que (>=)
  • es menor que (<)
  • es menor o igual que (<=)
  • contiene
  • no contiene
  • comienza con
  • termina con
ValorValor que ESA debe buscar en la clave.
¿Omitir mayúsculas y minúsculas?

 

Este campo está diseñado para su uso con cadenas y matrices de valores de cadena. Cuando se selecciona el campo Omitir mayúsculas y minúsculas, la consulta trata todo el texto de la cadena como un valor en minúscula.  Esto garantiza la activación de una regla que busca el nombre de usuario Johnson si el evento contiene “johnson”, “JOHNSON” o “JoHnSoN”.

 ¿Arreglo?

Opción para indicar si el contenido del campo Valor representa uno o varios valores:

  • Seleccione la casilla paraindicar valores múltiples.
  • Deseleccione la casilla para indicar un valor.
Ícono Agregar Agregue una declaración. Puede agregar una condición de metadatos, de lista blanca o de lista negra. 
Elimine la declaración seleccionada.
GuardarAgregue la declaración a la sección Condiciones de la pestaña Generador de reglas.

En la siguiente tabla se muestran los operadores que puede usar en el generador de reglas:

                                                                                                               
OperadorValor obligatorioUsoEjemploSignificado
esValor de cadena único La clave de metadatos es igual al campo valor. user_dst es John Doe. user_dst es igual a la cadena “John Doe”.
esValor de cadena del arreglo La clave de metadatos es igual a uno de los elementos del campo valor. user_dst es John, Doe, Smith.

user_dst  es igual a la cadena “John”, a la cadena “Doe” o a la cadena “Smith” (Tenga en cuenta que se eliminan los espacios).

no esValor de cadena único La clave de metadatos no es igual al campo valor. tamaño no es 200. tamaño no es igual al número 200 (el tamaño es un valor numérico).
no esValor de cadena del arreglo La clave de metadatos no es igual a ninguno de los elementos del campo valor. tamaño no es 200, 300, 400. tamaño no es igual a 200, 300 ni 400.
no es nuloN/D (busca cualquier valor) El valor de clave de metadatos no es nulo. user_dst no es nulo. user_dst es un metadato que contiene un valor. 
es mayor que (>)Número El valor numérico de la clave de metadatos es mayor que el número en el campo valor. la carga útil es mayor que 7,000. la carga útil es un valor numérico que es mayor que 7,000.
es mayor o igual que (>=)Número El valor numérico de la clave de metadatos es mayor o igual al número en el campo valor. la carga útil es mayor o igual que 7,000. la carga útil es un valor numérico que es mayor o igual que 7,000.
es menor que (<)Número El valor numérico de la clave de metadatos es menor que el número en el campo valor. ip_dstport es menor que 1,024. ip_dstport es un valor numérico menor que el valor numérico 1,024.
es menor o igual que (<=)Número El valor numérico de la clave de metadatos es menor o igual que el número en el campo valor. ip_dstport es menor o igual que 1,024. ip_dstport es un valor numérico menor o igual que el valor numérico 1,024.
contieneCadena

El campo valor es una subcadena de la clave de metadatos (este operador solo está disponible para una clave de metadatos con valor de cadena).

ec_outcome contiene la falla. ec_outcome es una cadena que contiene la subcadena “falla”.
no contieneCadena

El campo valor no es una subcadena de la clave de metadatos (este operador solo está disponible para una clave de metadatos con valor de cadena).

ec_outcome no contiene la falla. ec_outcome es una cadena que no contiene la subcadena “falla”.
comienza conCadena

El campo valor es el comienzo de la clave de metadatos (este operador solo está disponible para una clave de metadatos con valor de cadena).

ip_dst comienza con 127.0. ip_dst es una cadena que comienza con “127.0”.
termina conCadena

El campo valor es el final de la clave de metadatos (este operador solo está disponible para una clave de metadatos con valor de cadena).

user_dst termina en hijo. user_dst es una cadena que termina en “hijo”.
Nota: Los términos en negrita cursiva son metadatos que probablemente no existen en todos los ambientes de cliente.
You are here
Table of Contents > Referencias > Cuadro de diálogo Crear una declaración

Attachments

    Outcomes