Decoder: Pestaña Reglas de aplicación

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describen las funciones para crear y administrar reglas de aplicación en la vista Configuración de servicios > pestaña Reglas de aplicación.

La pestaña Reglas de aplicación permite administrar las reglas de aplicación. Security Analytics aplica reglas de aplicación en el nivel de sesión.

Paso 4. Configurar reglas de Decoder proporciona información adicional y Configurar reglas de aplicaciones proporciona instrucciones para crear reglas de aplicación.

La barra de herramientas de la pestaña Reglas de aplicación es común a todos los tipos de reglas. Vista Configuración de servicios: Pestañas Reglas proporciona información sobre la barra de herramientas y las acciones comunes para las reglas.

Para acceder a la pestaña Reglas de aplicación:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
  2. Seleccione un servicio Decoder o Log Decoder y elija ic-actns.png >Ver > Configuración.
    Se muestra la vista Configurar del servicio seleccionado.
  3. Haga clic en la pestaña Reglas de aplicación.

En la siguiente figura se muestra una pestaña Reglas de aplicación.

LogDecAppRulesTb.png

Columnas de la pestaña Reglas de aplicación

                                 
ColumnaDescripción
Pending Esta columna indica si una regla tiene cambios pendientes. Las reglas que están actualmente activas en el Decoder no tienen indicador. Si la regla es nueva o se modificó, la columna contiene ic-pending2.png. Una vez que se aplican las reglas, el indicador de pendiente se elimina.
Nombre Este el nombre de la regla, un identificador descriptivo de la regla.
Condición Esta es la definición de la condición que activa una acción cuando se coincide con ella.
Datos de sesiónEsta columna muestra la medida de los Datos de sesión que se implementa cuando un paquete coincide con la regla. Los posibles valores son Filtro, Mantener o Truncar.
Alerta Esta columna muestra el nombre de la alerta personalizada que el Decoder genera cuando los metadatos coinciden con la regla.
Status Esta columna indica si la regla está activada o desactivada con un ícono de círculo. Si el interior del círculo es verde, la regla está activada. Si el círculo está vacío, la regla está deshabilitada.

Cuadro de diálogo Editor de regla

En la siguiente figura se muestra el cuadro de diálogo Editor de regla para una regla de aplicación.

NetworkRuleEditor.png

El cuadro de diálogo Editor de regla proporciona los campos y las opciones necesarios para definir una regla de aplicación. 

                 
CampoDescripción
Nombre de la regla El nombre descriptivo que identifica a la regla.
Condición La definición de la condición que activa una acción cuando se coincide con ella. Puede escribir directamente en el campo o crear la condición en este campo utilizando metadatos de las acciones en la ventana de IntelliSense. A medida que crea la definición de la regla, Intellisense muestra los errores y advertencias de sintaxis.

Todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP. Guía de reglas y consultas proporciona detalles adicionales.

En la siguiente tabla se describen las acciones y las opciones de Datos de sesión.

                                     
AcciónDescripción
Detener procesamiento de regla Si está seleccionada, la evaluación adicional de la regla termina si hay una coincidencia con la regla y la sesión se guarda según la acción de la sesión. Si no se verifica, la evaluación de la regla continúa hasta que se evalúen todas las reglas.
Mantener La carga útil del paquete y los metadatos asociados se guardan cuando coinciden con la regla.
Filtro El paquete no se guarda cuando coincide con la regla.
Truncar La carga útil del paquete no se guarda cuando coincide con la regla, pero los encabezados del paquete y los metadatos asociados se conservan.
Alerta y Alerta enSi Alerta está seleccionado, el paquete genera una alerta personalizada cuando los metadatos coinciden con la regla. Puede seleccionar el nombre de la alerta en el campo Alerta en.
Avanzar Habilita la ejecución del reenvío de syslog cuando el registro coincide con la regla.
Transitorio Impide que los metadatos de alerta que se crean se escriban en disco.


En la siguiente tabla se describen las acciones del cuadro de diálogo Editor de regla. 

                         
AcciónDescripción
Restablecer Restablece los contenidos del cuadro de diálogo a los valores previos a la edición; los cambios se anulan.
Cancelar Cancela las ediciones y cierra el cuadro de diálogo Editor de regla.
OK Guarda la regla nueva o editada y la agrega a la cuadrícula de reglas. El cuadro de diálogo Editor de regla se cierra.
Guardar (Solo reglas con sintaxis obsoleta) Aplica una regla corregida individualmente al servicio Decoder. Consulte Corregir las reglas con sintaxis obsoleta.
You are here
Table of Contents > Referencias > Vista Configuración de servicios: Pestaña Reglas > Pestaña Reglas de aplicación

Attachments

    Outcomes