Informes: Vista Crear regla

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describen las funciones de la vista Crear regla y las acciones que puede ejecutar. Los procedimientos asociados se proporcionan en Reglas.

En el panel Reglas puede ejecutar las siguientes acciones:

  • Definir y guardar una regla.
  • Restablecer los valores de la regla.
  • Probar la exactitud de la regla.
  • Agregar la regla a un informe.
  • Agrega la regla a la línea de espera de alertas.
  • Agrega la regla a un gráfico.

Para acceder a la vista Crear regla:

  1. En el menú de Security Analytics, haga clic en Administration Informes.
    Se muestra la pestaña Administrar.
  2. En la barra de herramientas Regla, haga clic en add_rule_button.png > Base de datos de NetWitness.
    Se muestra la pestaña de la vista Crear regla

La siguiente figura es un ejemplo de la vista Crear regla.
106_build_rule_view.png

Características 

La vista Crear regla incluye los siguientes paneles:

  • Panel Regla
  • Panel Metadatos
  • Panel Listas

Panel Regla

El panel Regla le permite crear una regla para el tipo de base de datos seleccionado.

En la siguiente figura se muestra el panel Regla.
105_build_rule_view1.png

En la siguiente tabla se describen las funciones del panel Regla.

                                               
CaracterísticaDescripción
Tipo de reglaUna lista desplegable de tipos de base de datos compatibles para los cuales puede crear reglas. Las opciones son: Base de datos Netwitness, IPBD y base de datos de Warehouse.
NombreEl nombre de la regla que se creará o editará.
ResumenUna lista desplegable de opciones de resumen. Las opciones son: Ninguno, conteo de eventos, conteo de paquetes, conteo de sesiones y personalizado.
SeleccionarLa clave de metadatos para la cual necesita los valores agregados; por ejemplo, ip.dest.
DondeUna cláusula Where que define las condiciones que activan la ejecución de la regla; por ejemplo, ip.dest = 127.0.0.1.
Agrupar porEl método de agrupación de los resultados. Por ejemplo, la especificación de ip.dest genera un informe en el cual se agrupan valores semejantes a ip.dest.
A continuaciónUna cláusula Then que define las acciones de regla para procesamiento adicional en la salida.
Ordenar porEl método de secuenciación utilizado para mostrar los resultados. Por ejemplo, si se especifica ordenar de forma ascendente el valor en la columna Total, se produce un informe en el cual los resultados se clasifican en orden ascendente según el valor de la columna Total.
Umbral de sesiónUna lista de selección para el umbral de sesión, la cual especifica la cantidad máxima de sesiones que se deben procesar para las funciones de agregado.
LímiteUna lista de selección para la cantidad máxima de filas de resultados que se recuperarán.
UsarCuando hace clic en Usar, se le permite usar la regla para generar un informe Alerta de gráfico.
GuardarCuando hace clic en Guardar, se guarda la regla que está editando y el panel Crear regla permanece abierto. Antes de probar una regla, debe guardarla si desea conservar sus cambios.
RestablecerCuando hace clic en Restablecer, se borra toda la información del campo.
Probar regla

Cuando hace clic en Probar regla, se abre el cuadro de diálogo Probar regla.

Cuadro de diálogo Probar regla

Para acceder a la vista Probar regla:

  1. En el menú de Security Analytics, haga clic en Administration Informes.
    Se muestra la pestaña Administrar.
  2. En el panel Lista de reglas, realice una de las siguientes acciones:
    • Seleccione una regla y haga clic en edit_button.png en la barra de herramientas Reglas.
    • Haga clic en  > Editar.
      Se muestra la pestaña de la vista Crear regla.
  3. Haga clic en Probar regla.
    Se muestra la vista Probar regla.
    Test_rule_page.png

En la siguiente tabla se describen las funciones del cuadro de diálogo Probar regla.

                          
CaracterísticaDescripción
Origen de datosUna lista desplegable de orígenes de datos para el tipo de regla que se está probando. Posibles orígenes de datos son: Concentrator, Broker, Decoder o Log Decoder.
FormatoUna lista desplegable de los formatos para mostrar los resultados de la regla. Formatos posibles: Tabular, área, barras, burbujas, columna, línea, circular, línea escalonada, área escalonada, área de spline y spline.
Rango de tiempo

Una lista desplegable de métodos de especificación de rango de tiempo.

  • Seleccionar Pasado permite especificar una cantidad de años, meses, días, semanas u horas. Por ejemplo,horas, días, semanas, meses o años.
  • Seleccionar Rango permite especificar un rango de fechas y un período. Por ejemplo, fecha de inicio a fecha de finalización.

En la interfaz del usuario, la fecha o la hora que se muestran dependen del perfil de zona horaria que seleccionó el usuario.

Usar cálculo de tiempo relativoSi selecciona esta opción, calcula el rango de tiempo con respecto a la hora actual.
Eje X

Eje X y Eje Y especifican los metadatos que se trazarán en los gráficos.
En la lista desplegable Eje X se enumeran los tipos de metadatos correspondientes a la configuración Group by de la regla. Cuando la regla tiene una sola configuración Group by, puede seleccionar varios tipos de metadatos.
Para las reglas personalizadas con varios valores Group by, puede seleccionar solo el primer tipo de metadatos en el Eje X.

Eje Y

En la lista desplegable de Eje y, se enumeran las funciones de agregado que se usan en la regla. Sum, Count, Countdistinct y Average son las funciones de agregado compatibles con la regla.
Puede seleccionar una o más funciones de agregado.

Ejecutar pruebaHacer clic en Ejecutar prueba ejecuta una prueba de la última regla que se guardó en el cuadro de diálogo Generador de reglas. Cuando finaliza la prueba, se muestran los datos de la regla (en caso de haberlos) para el rango de tiempo seleccionado.

Panel Metadatos

El panel Metadatos proporciona una lista de los tipos de metadatos disponibles que puede usar para crear la regla. Puede usar los tipos de metadatos en las cláusulas Select, Where y Then. Reporting Engine mantiene una lista activa de los nombres de metadatos disponibles mediante una sincronización constante con el origen de datos al cual está conectado.

En la siguiente figura se muestra el panel Metadatos.
104_build_rule_panel.png
En la siguiente tabla se describen las funciones del panel Metadatos.

           
OperationDescripción
ElegirDe acuerdo con el tipo de regla que seleccionó, los orígenes de datos disponibles se muestran en la lista desplegable del panel Metadatos. Seleccione el origen de datos requerido. Se muestran los tipos de metadatos disponibles para el origen de datos. Seleccione metadatos.
FiltroFiltre los metadatos para un valor de metadatos específico.

Panel Lista

Una lista es un marcador de posición de un conjunto de valores que puede usar en los metadatos o en una variable. Por ejemplo, puede definir una lista con todas las direcciones IP de orígenes de eventos que están en una lista blanca. Una vez que la lista se ha definido, puede usar el nombre de la lista en la regla. Esto proporciona la flexibilidad para agregar, modificar y eliminar los valores de lista.

El panel Listas es una recopilación de listas. Reporting Engine mantiene una lista activa de los nombres de lista disponibles mediante la sincronización continua con la recopilación a la cual está conectado.

En la siguiente figura se muestra el panel Listas.
104_list_pane.png

En la siguiente tabla se describen las funciones del panel Listas.

                 
OperationDescripción
part_of_list_pane.pngImportar o exportar una lista.
part_of_list_pane.pngSi selecciona el tipo de regla Base de datos de NetWitness, se muestran las opciones Where y Then. Inserte la lista en la cláusula Where o Then en la regla.
part_of_list_pane.pngSi selecciona el tipo de regla IPDB, se muestran las opciones Where y Origen de evento. Inserte la lista en la cláusula Where u Origen de evento en la regla.
part_of_list_pane.pngSi selecciona el tipo de regla Base de datos de Warehouse, se muestra la opción Where. Inserte la lista en la cláusula Where en la regla.
You are here
Table of Contents > Referencias del módulo Reporting > Referencias de reglas > Vista Crear regla

Attachments

    Outcomes