Decoder: Corregir las reglas con sintaxis obsoleta

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Después de una actualización a Security Analytics 10.6, la interfaz del usuario resalta las reglas con sintaxis obsoleta. Es importante corregir la sintaxis de las reglas resaltadas debido a que pueden contener sintaxis ambigua que puede generar resultados inesperados. En el Editor de regla se proporcionan mensajes de globo adicionales. Después de corregir las reglas, los elementos resaltados desaparecen.

Guía de reglas y consultas proporciona una guía que deben seguir todas las consultas y las condiciones de regla en Security Analytics. También se proporciona información sobre la configuración del modo estricto, además de sintaxis válida y obsoleta.

Procedimiento

Para corregir las reglas con sintaxis obsoleta:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. En la vista Servicios, seleccione un servicio Decoder y elija Menú Acciones recortado > Ver > Configurar.
  3. En la vista Configuración de servicios, seleccione una de las pestañas Reglas: Reglas de red, Reglas de aplicación o Reglas de correlación.
    La pestaña Reglas correspondiente al tipo de regla seleccionado muestra la cantidad de reglas que usan sintaxis obsoleta y las reglas obsoletas están resaltadas.
    RulesTabDeprRules-D.png
  4. Seleccione una regla obsoleta y haga clic enic-edit.png.
    En el Editor de regla se muestra información adicional para la regla obsoleta y se incluye una opción Guardar adicional.
    DeprAppRuleEditor-D.png
  5. En el campo Condición, corrija la sintaxis de la regla.
    Todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP. Guía de reglas y consultas proporciona detalles adicionales.
    Por ejemplo, si la condición de regla obsoleta es ip.src="10.30.30.30", corrija la sintaxis mediante la eliminación de las comillas: ip.src=10.30.30.30
  6. Realice una de las siguientes acciones
    • Para corregir la regla de forma individual, haga clic en Guardar.
      La regla corregida se aplica de manera independiente al servicio Decoder. La regla corregida aparece sin resaltar en la pestaña Reglas. 
    • Para corregir la regla y aplicarla al servicio Decoder más adelante con otras reglas, haga clic en Aceptar.
      La regla corregida aparece sin resaltar en la pestaña Reglas. La regla no se aplica al servicio Decoder.
You are here
Table of Contents > Procedimientos adicionales > Corregir las reglas con sintaxis obsoleta

Attachments

    Outcomes