Alerting: Pestaña Nueva regla de EPL avanzado

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describe la pestaña Regla de EPL avanzado que se usa para definir criterios de regla con una consulta del lenguaje de procesamiento de eventos (EPL).

Para acceder a la pestaña Regla de EPL avanzado:

  1. En el menú de Security Analytics, seleccione Alertas > Configurar.

    La vista Configurar se muestra con la pestaña Reglas abierta de forma predeterminada.

  2. En la barra de herramientas de la Biblioteca de reglas, seleccione addList.PNG  > EPL avanzado.

    Se muestra la pestaña Regla de EPL avanzado.

La siguiente es una captura de pantalla de la pestaña Regla de EPL avanzado.

NwAdvRuleTb.png

Características

En la siguiente tabla se enumeran los parámetros de la pestaña Regla de EPL avanzado.

                             
ParámetrosDescripción
Nombre de la reglaObjetivo de la regla de ESA.
Descripción Resumen de lo que detecta la regla de ESA.
Regla de pruebaModo de implementación para ver si la regla se ejecuta eficientemente.
Gravedad Nivel de amenaza de la alerta que activó la regla.
ConsultaConsulta de EPL que define criterios de regla.

Notificaciones

En la sección Notificaciones, puede elegir cómo desea que se le informe cuando ESA genere una alerta para la regla.

Para obtener más información sobre las notificaciones de alertas, consulte Agregar un método de notificación a una regla.

En la siguiente figura se muestra la sección Notificaciones.

NotificationAdded.png

                                         
ParámetroDescripción
Para agregar un tipo de notificación de alerta.
Para eliminar el tipo de notificación de alerta seleccionado.
SalidaTipo de notificación de alerta. Las opciones son:
  • Correo electrónico
  • SNMP
  • Syslog
  • Script
NotificaciónNombre de la salida configurada con anterioridad, como una lista de distribución de correo electrónico.
Servidor de notificaciónNombre del servidor que envía la salida.
PlantillaNombre de la plantilla para la notificación de la alerta.
Supresión de salida de cadaOpción para especificar la frecuencia de la alerta.
MinutosFrecuencia de la alerta en minutos.

Enriquecimientos

En la sección Enriquecimientos, puede agregar un origen de enriquecimiento de datos a una regla.

Para obtener más información sobre los enriquecimientos, consulte Agregar un enriquecimiento a una regla.

En la siguiente figura se muestra la sección Enriquecimientos.
RuleEnrSec.png

                                   
ParámetroDescripción

Para agregar un enriquecimiento.

Para eliminar el enriquecimiento seleccionado.

Salida

Tipo de origen de enriquecimiento. Las opciones son:

  • Tabla en la memoria
  • Referencia de base de datos externa
  • Warehouse Analytics
  • GeoIP

Origen de enriquecimiento

Nombre del origen de enriquecimiento configurado con anterioridad, como un nombre de archivo .CSV para una tabla en la memoria.

Metadatos de flujos de eventos de ESA

Clave de metadatos de ESA cuyo valor se usará como un operando de la condición de combinación.

Nombre de columna de origen de enriquecimiento

Nombre de la columna de origen de enriquecimiento cuyo valor se usará como otro operando de la condición de combinación.
Previous Topic:Referencias
You are here
Table of Contents > Referencias > Pestaña Nueva regla de EPL avanzado

Attachments

    Outcomes