Decoder: Pestaña Reglas de correlación

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describen las funciones para crear y administrar reglas de correlación en la vista Configuración de servicios > pestaña Reglas de correlación.

La pestaña Reglas de correlación permite administrar las reglas de correlación. Las reglas de correlación básicas se aplican en el nivel de sesión y advierten al usuario sobre actividades específicas que pueden estar ocurriendo en su ambiente. Security Analytics aplica las reglas de correlación en una ventana de tiempo móvil configurable. 

Paso 4. Configurar reglas de Decoder proporciona información adicional y Configurar reglas de correlación proporciona instrucciones para crear reglas de correlación.

La barra de herramientas de la pestaña Reglas de correlación es común a todos los tipos de reglas. Vista Configuración de servicios: Pestañas Reglas proporciona información sobre la barra de herramientas y las acciones comunes para las reglas.

Para acceder a la pestaña Reglas de correlación:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione un servicio y elijaic-actns.png >Ver > Configurar.
    Se muestra la vista Configurar del servicio seleccionado.
  3. Haga clic en la pestaña Reglas de correlación.

En la siguiente figura se muestra la pestaña Reglas de correlación.

En la siguiente figura se muestra el cuadro de diálogo Editor de regla para una regla de correlación.

104CorrRuleEditor.png

En la siguiente tabla se describen las columnas de la pestaña Reglas de correlación. 

                                     
ColumnaDescripción
Pending Esta columna indica si una regla tiene cambios pendientes. Las reglas que están actualmente activas en el Decoder no tienen indicador. Si la regla es nueva o se modificó, la columna contiene ic-pending2.png. Una vez que se aplican las reglas, el indicador de pendiente se elimina.
Nombre Este el nombre descriptivo de la regla.
Condición Esta es la definición de la condición que activa una acción cuando se coincide con ella.

En las condiciones, todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP. Guía de reglas y consultas proporciona detalles adicionales.
Clave de instancia Este es el indicador de destino en el que se basa el evento. Puede ser una única clave primaria, como ip.src o una clave primaria compuesta, como ip.src,ip.dst.
Umbral Es la cantidad mínima de apariciones necesarias para activar una sesión de correlación y puede incluir una clave asociada que identifique el tipo de metadatos que se están contando para determinar si se cumple la condición. El motor de correlación no puede usar IPv4 o IPv6 comoun tipo de metadatos asociado. Use uno de los tres argumentos siguientes:
  • u_count(associated_key) = el conteo de valores únicos de la clave especificada. Se requiere una clave.
  • sum(associated_key) = los valores de la clave especificada. Se requiere una clave.
  • count() = cantidad de sesiones, no se usa una clave asociada. Si se incluye, se omite.
Ventana de tiempo Es la duración en horas, minutos o segundos dentro de la cual se debe alcanzar el umbral para que se active una sesión de correlación.
Status Esta columna indica si la regla está activada o desactivada con un ícono de círculo. Si el interior del círculo es verde, la regla está activada. Si el círculo está vacío, la regla está deshabilitada.

El cuadro de diálogo Editor de regla proporciona las opciones y los campos necesarios para definir una regla de red. Los campos corresponden exactamente a las columnas de la cuadrícula.

                         
AcciónDescripción
Restablecer Restablece los contenidos del cuadro de diálogo a los valores previos a la edición; los cambios se anulan.
Cancelar Cancela las ediciones y cierra el cuadro de diálogo Editor de regla.
OK Guarda la regla nueva o editada y la agrega a la cuadrícula de reglas. El cuadro de diálogo Editor de regla se cierra.
Guardar (Solo reglas con sintaxis obsoleta) Aplica una regla corregida individualmente al servicio Decoder. Consulte Corregir las reglas con sintaxis obsoleta.
You are here
Table of Contents > Referencias > Vista Configuración de servicios: Pestaña Reglas > Pestaña Reglas de correlación

Attachments

    Outcomes