Alerting: Configurar una tabla en la memoria como origen de enriquecimiento

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para configurar una tabla en la memoria. Cuando se configura una tabla en la memoria, se carga un archivo .CSV como entrada para la tabla. Puede asociar esta tabla con una regla como un origen de enriquecimiento. Cuando la regla asociada genere una alerta, ESA enriquecerá la alerta con información pertinente de la tabla en la memoria.

Por ejemplo, se podría configurar una regla para detectar cuando un usuario intenta descargar freeware e identificar a la persona por ID de usuario en la alerta. La alerta se podría enriquecer con información adicional de una tabla en la memoria que contiene detalles como nombre completo, cargo, ubicación de la oficina y número de empleado.

Una tabla en la memoria es ideal para manejar datos ligeros. Es fácil de configurar y requiere menos mantenimiento que una base de datos. Por ejemplo, AllTech Company es una organización pequeña y, por lo tanto, el administrador del sistema puede mantener la información de los empleados en un archivo .CSV. Si AllTech crece y se transforma en una empresa muy grande, el administrador tendría que configurar una referencia de base de datos externa como un enriquecimiento y asociar la base de datos a una regla.

Requisitos previos

El nombre de columna en el archivo .CSV no puede tener espacios en blanco.

La primera línea del archivo .CSV debe tener el siguiente formato para cada columna:
name_of_column_1 type_of_column_1

Por ejemplo, estas tres columnas tienen el formato correcto:
Last_Name string
First_Name string
Phone integer

Procedimientos

Configurar una tabla en la memoria ad hoc

  1. En el menú de Security Analytics, seleccione Alertas > Configurar.
    La vista Configurar se muestra con la pestaña Reglas abierta.
  2. Haga clic en la pestaña Configuración.
  3. En el panel de opciones, seleccione Orígenes de enriquecimiento.
    EnrSources2.png
  4. En la sección Orígenes de enriquecimiento, haga clic en addList.PNG > Tabla en la memoria.
    IMTblAdhoc.png
  5. Describa la tabla en la memoria:
    1. Seleccione Ad hoc.
    2. De manera predeterminada, la opción Activar está seleccionada. Cuando se agrega la tabla en la memoria a una regla, las alertas se enriquecen con datos de ella.
      Si agrega una tabla en la memoria a una regla, pero no desea que las alertas se enriquezcan, deseleccione la casilla de verificación.
    3. En el campo Nombre de tabla definido por el usuario, escriba un nombre para la configuración de la tabla en la memoria, como Información de estudiante.
    4. Si desea explicar lo que agrega el enriquecimiento a una alerta, escriba una Descripción como la siguiente:
      Cuando una alerta se agrupa por Rollno, este enriquecimiento agrega información de estudiantes, como el nombre y marcas. 
  6. En el campo Importar datos, seleccione el archivo .CSV que alimentará datos a la tabla en la memoria.
  7. Si desea escribir una consulta de EPL para definir una configuración avanzada de la tabla en la memoria, seleccione Modo experto.
    Columnas de la tabla se reemplaza por un campo Consulta.
  8. Seleccione Persistir para conservar la tabla en la memoria en disco cuando el servicio de ESA se detenga y para volver a completar la tabla cuandose reinicie.
  9. En la sección Columnas de la tabla, haga clic en Ícono Agregar para agregar columnas a la tabla en la memoria. 
  10. Si se selecciona un archivo válido en el campo Importar datos, las columnas se completan automáticamente.

Nota: si seleccionó Modo experto, se muestra un campo Consulta en lugar de Columnas de la tabla.

  1. En el menú desplegable Clave, seleccione el campo que se usará como la clave predeterminada para unir eventos entrantes con la tabla en la memoria cuando se usa una tabla en la memoria basada en CSV como un enriquecimiento. De forma predeterminada, se selecciona la primera columna. También puede modificar posteriormente la clave cuando abra la tabla en la memoria en los orígenes de enriquecimiento.
  2. En el menú desplegable Máx. de filas, seleccione la cantidad máxima de filas que pueden residir en la tabla en la memoria en una instancia específica.
  3. Haga clic en Guardar.
    La tabla en la memoria ad hoc se configura. Puede agregarlo a la regla como un enriquecimiento o como parte de la condición de regla. Consulte Agregar un enriquecimiento a una regla.

Cuando agrega una tabla en la memoria, puede agregarla a una regla como un enriquecimiento o como parte de la condición de regla. Por ejemplo, la regla siguiente utiliza una tabla en la memoria como parte de la condición de regla para crear una lista blanca y también utiliza una tabla en la memoria de detalles en el archivo user_dst para enriquecer la alerta que se muestra. 

La regla muestra la tabla en la memoria como una condición de regla de lista blanca:

in-rule-enrichment.png

A continuación, la alerta se enriquece con la tabla en la memoria User_list:

post_alert_enrichment.png

Por lo tanto, la tabla en la memoria user_dst se usa para crear una lista blanca y también para enriquecer los datos en la alerta si esta se activa. 

Agregar una tabla en la memoria recurrente

  1. En el menú de Security Analytics, seleccione Alertas > Configurar.
    La vista Configurar se muestra con la pestaña Reglas abierta.
  2. Haga clic en la pestaña Configuración.
  3. En el panel de opciones, seleccione Orígenes de enriquecimiento.
  4. Haga clic en addList.PNG > Tabla en la memoria.
  5. Describa la tabla en la memoria:
    1. Haga clic en Periódica.
    2. De manera predeterminada, la opción Activar está seleccionada. Cuando se agrega la tabla en la memoria a una regla, las alertas se enriquecen con datos de ella.
      Si agrega una tabla en la memoria a una regla, pero no desea que las alertas se enriquezcan, deseleccione la casilla de verificación.
    3. En el campo Nombre de tabla definido por el usuario, escriba un nombre para la configuración de la tabla en la memoria, como Información de estudiante.
    4. Si desea explicar lo que agrega el enriquecimiento a una alerta, escriba una Descripción como la siguiente:
      Cuando una alerta se agrupa por Rollno, este enriquecimiento agrega información del estudiante, como el nombre y las calificaciones.
  6. Escriba la URL del archivo .CSV que alimentará datos en la tabla en la memoria. Haga clic en Verificar para validar el vínculo y completar las columnas del archivo .CSV.  Puede agregar o eliminar columnas con el signo más o menos. 
  7. Si el servidor está configurado detrás de otro servidor, seleccione Usar proxy.
  8. Si el servidor requiere credenciales de inicio de sesión, seleccione Autenticado
  9. En Repetir cada, indique la frecuencia con que ESA debe comprobar el archivo .CSV más reciente:
    1. Seleccione Minuto(s), Hora(s), Día(s) o Semana.
    2. Si selecciona Semana, seleccione un día de la semana. 
    3. Haga clic en Rango de fechas para seleccionar una Fecha inicial y una Fecha de finalización para el calendario recurrente.
      DateStartEnd.png
  10. Seleccione Persistir para conservar la tabla en la memoria en disco cuando el servicio de ESA se detenga y para volver a completar la tabla cuando se reinicie.
  11. En el menú desplegable Clave, seleccione el campo que se usará como la clave predeterminada para unir eventos entrantes con la tabla en la memoria cuando se usa una tabla en la memoria basada en CSV como un enriquecimiento. De forma predeterminada, se selecciona la primera columna. También puede modificar posteriormente la clave cuando abra la tabla en la memoria en los orígenes de enriquecimiento.
  12. En el menú desplegable Máx. de filas, seleccione la cantidad de filas que pueden residir en la tabla en la memoria en una instancia específica.
  13. Haga clic en Guardar.
    La tabla en la memoria recurrente se configura. Puede agregarlo a la regla como un enriquecimiento o como parte de la condición de regla. Consulte Agregar un enriquecimiento a una regla.
You are here
Table of Contents > Agregar un origen de enriquecimiento de datos > Orígenes de enriquecimiento > Configurar una tabla en la memoria como origen de enriquecimiento

Attachments

    Outcomes