Incident Management: Pestaña Nueva regla

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporciona información sobre los parámetros necesarios para crear una nueva regla.

Para acceder a la vista de la pestaña Nueva regla:

  1. En el menú de Security Analytics, seleccione Incidentes > Configurar > Reglas de agregación.

    Se muestra la vista Reglas de agregación.

  2. Haga clic en .

    Se muestra la pestaña Nueva regla.

    add_rule_dialog_im.png

La vista Nueva regla ofrece varios campos en los cuales puede personalizar una nueva regla.

En la siguiente tabla se detallan los parámetros que se deben proporcionar para crear nuevas reglas de agregación.

                                                            
ParámetroDescripción
ActivadoSeleccione esta opción para activar la regla.
Nombre*Nombre de la regla. Este campo es obligatorio. 
DescripciónDescripción de la regla que permite formarse una idea de las alertas que se agregan.
Condiciones de coincidencia*

Generador de consultas: seleccione si desea crear una consulta con diversas condiciones que se pueden agrupar. También puede tener grupos de condiciones anidados.

Condiciones de coincidencia: puede configurar el valor en Todas estas, Cualquiera de estas o Ninguna de estas. De acuerdo con la selección, se buscan coincidencias con los tipos de criterios especificados en las condiciones y el grupo de condiciones para agrupar las alertas.

Por ejemplo, si configura la condición de coincidencia en Todas estas, las alertas que coinciden con los criterios mencionados en las condiciones y el grupo de condiciones se agrupan en un incidente.
Haga clic en <> para agregar una condición para la cual se buscarán coincidencias
Haga clic en <> para agregar un grupo de condiciones y haga clic en <> para agregar condiciones
Puede incluir múltiples condiciones y grupos de condiciones para los cuales se pueden buscar coincidencias conforme a los criterios establecidos con el fin de agrupar las alertas entrantes en incidentes.

Avanzado: seleccione si desea agregar un generador de consultas avanzado. Puede agregar una condición específica que se deba hacer coincidir de acuerdo con la opción de coincidencia seleccionada.

Por ejemplo: puede ingresar el formato del generador de criterios {"$and": [{"alert.severity" : {"$gt":4}}]} para agrupar alertas que tienen una gravedad mayor que 4.

Para conocer la sintaxis avanzada, consulte http://docs.mongodb.org/manual/reference/operator/query/ o http://docs.mongodb.org/manual/reference/method/db.collection.find/

Acción

Agrupar en un incidente: si esta opción está activada, las alertas que coinciden con los criterios establecidos se agrupan en una alerta.

Suprimir la alerta: si esta opción está activada, las alertas que coinciden con los criterios se suprimen.

Opciones de agrupación*

Agrupar por: Los criterios para agrupar las alertas según la categoría especificada. Puede agrupar las alertas sin atributos (todas las alertas coincidentes se agrupan juntas), 1 atributo o 2 atributos. Agrupar en un atributo significa que todas las alertas coincidentes que contienen el mismo valor para ese atributo se agrupan en el mismo incidente.

Ventana de tiempo: El rango de tiempo especificado para agrupar alertas.
Por ejemplo, si la ventana de tiempo se configura en una hora, todas las alertas que coinciden con los criterios establecidos en el campo Agrupar por y que llegan con una hora de diferencia unas de otras se agrupan en un incidente.

Opciones de incidente

Título: (Opcional) Título del incidente. Puede proporcionar marcadores de posición basados en los atributos que agrupó. Los marcadores de posición son opcionales. Si no usa marcadores de posición, todos los incidentes que crea la regla tendrán el mismo título.

Por ejemplo, si los agrupó según el origen, el incidente resultante se puede llamar Alertas para ${groupByValue1}, y el incidente para todas las alertas de ECAT tendría el nombre Alertas para ECAT.

Resumen: (opcional) resumen del incidente.
Categoría: (opcional) categoría del incidente creado. Un incidente se puede clasificar por más de una categoría.
Usuario asignado: (opcional) nombre del usuario asignado a quien se asigna el incidente.
Prioridad

Promedio de puntaje de riesgo en todas las alertas: toma el promedio de los puntajes de riesgo en todas las alertas para establecer la prioridad del incidente creado.

Puntaje de riesgo más alto disponible en todas las alertas: toma el puntaje más alto disponible en todas las alertas para establecer la prioridad del incidente creado.

Cantidad de alertas en la ventana de tiempo: toma el conteo de la cantidad de alertas en la ventana de tiempo seleccionada para establecer la prioridad del incidente creado.

Mueva el control deslizante para ajustar la escala que establece el nivel de prioridad del incidente.

NotificacionesConjunto de direcciones de correo electrónico de los usuarios que recibirán notificación cuando esta regla cree incidentes.
You are here
Table of Contents > Información de referencia de Incident Management > Vista Configurar > Pestaña Reglas de agregación > Pestaña Nueva regla

Attachments

    Outcomes