Alerting: Agregar una regla de EPL avanzado

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para definir criterios de regla mediante la redacción de una consulta de EPL. EPL es un lenguaje declarativo para manejar datos de eventos de alta frecuencia basados en tiempo. Se utiliza para expresar filtrado, agregación y uniones en ventanas posiblemente deslizantes de varios flujos de eventos. EPL también incluye una semántica de patrones para expresar causalidad temporal compleja entre eventos.

Escriba una regla de EPL avanzado cuando los criterios de regla sean más complejos que los que se pueden especificar en el generador de reglas.

La explicación de la sintaxis de EPL está fuera del alcance de esta guía. 

Requisitos previos

Los siguientes son requisitos previos para agregar una regla avanzada:

  • Debe conocer el lenguaje de procesamiento de eventos (EPL).
  • Debe comprender las anotaciones de ESA para marcar las declaraciones de EPL vinculadas a la generación de alertas.

Procedimiento

Para agregar una regla de EPL avanzado:

  1. En el menú de Security Analytics, seleccione Alertas > Configurar.
  2. En la Biblioteca de reglas, seleccione addList.PNG > EPL avanzado.

    NwAdvRuleTb.png

  3. Escriba un nombre descriptivo único en el campo Nombre de la regla.

    Este nombre aparecerá en la Biblioteca de reglas, por lo cual debe ser muy específico para diferenciar esta regla de las demás.

  4. En el campo Descripción, explique los eventos que detecta la regla.

    El principio de esta descripción aparecerá en la Biblioteca de reglas

  5. Seleccione Regla de prueba para deshabilitar automáticamente la regla si todas las reglas de prueba superan en conjunto el umbral de la memoria.

    Use el modo de regla de prueba como resguardo para ver si una regla se ejecuta eficientemente e impedir que se produzca tiempo fuera debido a la falta de memoria. Para obtener más información, consulte Trabajar con reglas de prueba.

  6. En Severidad, clasifique la regla como Baja, Media, Alta o Crítico.
  7. Para definir criterios de regla, escriba una Consulta en EPL.

    Nota: En todos los nombres de clave de metadatos, use un guion bajo y no un punto. Por ejemplo,ec_outcome es correcto, pero ec.outcome no lo es.

  8. Si una regla debe generar una alerta, incluya esta anotación de ESA en la sintaxis:

    @RSAAlert

    ESA proporciona dos anotaciones. Para obtener información detallada, consulte Anotaciones de ESA.

You are here
Table of Contents > Agregar reglas a la Biblioteca de reglas > Agregar una regla de EPL avanzado

Attachments

    Outcomes