Informes: Definir una regla mediante el origen de datos de NetWitness

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan instrucciones para definir una regla para obtener datos o eventos desde un origen de datos de NetWitness. Puede definir reglas para obtener datos o eventos desde un origen de datos de NetWitness. Se usa el mismo procedimiento para definir una regla para obtener datos o eventos desde un origen de datos de Archiver.

El origen de datos de Archiver se puede agregar en la vista Configuración de servicios de Reporting Engine. Para obtener más información, consulte (Opcional) Agregar Archiver como un origen de datos en Reporting Engine en la Guía de configuración de hosts y servicios.

Requisitos previos

Asegúrese de que:

  • Comprender qué tipo de regla se debe usar en la regla. Para obtener más información acerca de los tipos de reglas, consulte Tipos de regla.
  • Comprender la sintaxis de las reglas de NWDB. Para obtener más información, consulte Sintaxis de reglas de NWDB
  • Comprender los componentes de la vista Regla. Para obtener más información, consulte Vista Regla.
  • Comprender los componentes de la vista Crear regla. Para obtener más información, consulte Vista Crear regla.
  • Comprender cómo se crean las claves de metadatos personalizados mediante feeds personalizados. Para obtener más información, consulte el tema Crear claves de metadatos personalizados mediante un feed personalizado en la Guía de configuración de hosts y servicios.  

Procedimiento

Realice los siguientes pasos para definir una regla con el fin de obtener datos o eventos desde un origen de datos de NetWitness:

  1. En el menú de Security Analytics, haga clic en Administration > Informes.

    Se muestra la pestaña Administrar.

  2. En la barra de herramientas Regla, haga clic en  >Base de datos de NetWitness.

    Se muestra la pestaña de la vista Crear regla.

    105_add_rule-tabbd.png

  3. En el campo Tipo de regla, Base de datos de NetWitness está seleccionado de manera predeterminada.
  4. En el campo Nombre, ingrese el nombre que se usará para identificar o etiquetar la regla en alertas e informes.
  5. El campo Resumir determina el tipo de resumen o agregación para la regla. De acuerdo con el tipo de regla que se definirá, debe seleccionar una de las siguientes opciones:
    • Para definir una regla no agregada sin ninguna agrupación, seleccione: Ninguno
    • Para definir una regla agregada con agregación especial, como los agregados relacionados con la recopilación (sesiones/eventos/paquetes), seleccione una de las siguientes opciones:

      • Conteo de eventos
      • Conteo de paquetes
      • Tamaño de sesión
    • Para definir una regla agregada con valores de metadatos y agregados personalizados, como sum(), count(), etc., seleccione: Personalizado

      Si selecciona “Personalizada” en el campo Resumir, podrá definir la función de agregado que desee en la cláusula Select. Por ejemplo, select ip.src, countdistinct(ip.dst), distinct(ip.dst).Las funciones de agregado compatibles son:

      • sum(<meta>) 
      • count(<meta>)
      • countdistinct(<meta>)
      • min(<meta>)
      • max(<meta>)
      • avg(<meta>)
      • first(<meta>)
      • last(<meta>)
      • len(<meta>)
      • distinct(<meta>)

      Para obtener información más detallada sobre las reglas agregadas y no agregadas, consulte Sintaxis de reglas de NWDB.

  6. En el campo Select, ingrese metadatos o selecciónelos en la lista de tipos de metadatos disponibles que se proporciona en la Biblioteca de metadatos. Para obtener más información, consulte el tema Panel Metadatos en la Vista Crear regla. El nombre de metadatos para buscar un registro crudo es raw. raw solo se puede usar en el campo Select. No se puede usar en los campos Where y Then. Varias funciones de agregado son compatibles para la regla agregada personalizada en el campo Select.

    Nota: En versiones anteriores de Security Analytics, solo era compatible una función de agregado para la regla agregada personalizada en la cláusula Select. Desde ahora, varias funciones de agregado son compatibles en la cláusula Select. Por ejemplo, Select: ip.src, username, service, distinct(country.src), sum(payload).

  7. En el campo Where, ingrese metadatos o seleccione metadatos de la lista de tipos de metadatos disponibles y use los operadores para crear la cláusula Where para los criterios de consulta base.
  8. El campo Agrupar por es un campo de solo lectura que se completa con metadatos que se definen en la cláusula Select. Para una función no de agregado, este campo no es visible. El campo Agrupar por es compatible con un máximo de seis metadatos.

    Nota: En versiones anteriores de Security Analytics, solo era compatible un metadato para la regla agregada personalizada en la cláusula Group By. Desde ahora, la cláusula Group By es compatible con un máximo de seis metadatos.

  9. En el campo Then, ingrese las acciones de regla que manipulan el conjunto de resultados original de una regla para lograr que la salida en un informe sea más concreta o agregar una funcionalidad adicional distinta a la consulta de datos y su visualización, por ejemplo, la creación de un feed a partir de los resultados. Para obtener una lista completa de acciones de regla disponibles, consulte Sintaxis de reglas de NWDB.

    Nota: Cuando se ejecuta una regla para un origen de datos de Archiver, se recomienda no usar acciones de regla intensivas como lookup_and_add() y show_whats_new().

  10. En el campo Ordenar por, realice lo siguiente:

    1. En la columna Nombre de la columna, ingrese el nombre de las columnas según las cuales desea ordenar los resultados. De forma predeterminada, el valor está vacío. El valor se completa de acuerdo con el valor que se selecciona en el campo Resumir.

      • En el caso de Resumir “Ninguno”, si no se selecciona ningún valor para Ordenar por, se aplica un orden predeterminado por hora de recopilación o sesión.
      • Para otros valores de Resumen, el orden predeterminado se basa en el primer metadato “group by” seleccionado cuando no se define ningún “order by”. Para Conteo de eventos, Conteo de paquetes y Tamaño de sesión, los valores aceptados son Total y Valor.
    2. En la columna Ordenar por, seleccione una de las siguientes formas de clasificar los resultados:

      • Orden ascendente
      • Orden descendente
  11. En el campo Umbral de sesión, ingrese la configuración de optimización para dejar de escanear las sesiones coincidentes en busca de cada valor único posible para los metadatos seleccionados. El umbral es un entero entre 0 (predeterminado) y 2,147,483,647.

    Nota: Esto se aplica solo a las reglas agregadas de NWDB. Si se especifica el valor predeterminado, se escanearán todas las sesiones coincidentes y se devolverá el valor preciso. Un umbral de sesión permite conteos precisos para un valor. Sin embargo, esto produce un tiempo de ejecución de reglas más prolongado. Por ejemplo, considere establecer el umbral de sesión en 1,000 para ip.src. Si hay 5,000 sesiones coincidentes para un valor de ip.src específico, que está presente en más de 1,000 sesiones, NWDB deja de escanear después de 1,000 sesiones y devuelve el valor agregado extrapolado. Esto optimiza el tiempo de ejecución de consultas. Si el valor está presente en menos de 1,000 sesiones, se devuelve el valor real.

  12. En el campo Límite, ingrese el límite que se introducirá en la consulta mientras se obtienen los datos de la base de datos. Si un conjunto de resultados se ordena por conteo de eventos, conteo de paquetes o tamaño de sesión, el límite representa los N valores superiores (o inferiores) que se devolverán. Si el conjunto de resultados no se ordena, se devuelven los primeros valores N.
  13. Haga clic en Guardar.

    Nota: A diferencia de los metadatos analizados, los registros crudos se obtienen desde los Decoders. Cuando tanto el registro crudo como los metadatos analizados se consultan en una única regla, debido a los distintos periodos de retención, puede haber metadatos analizados disponibles y puede que falten registros crudos en la misma sesión. De modo que el resultado tendrá valores de metadatos analizados y un valor crudo vacío para esas sesiones. Por ejemplo, para la regla “Select ip.src, ip.dst, service, username, raw”, los metadatos analizados podrían completarse y los metadatos crudos permanecen vacíos para algunas sesiones.

Próximos pasos 

Para probar la exactitud de la regla que creó, haga clic en Probar regla. Para obtener instrucciones, consulte Probar una regla.

You are here
Table of Contents > Trabajo con reglas de Reporting > Definir reglas y grupos de reglas > Definir una regla > Definir una regla mediante el origen de datos de NetWitness

Attachments

    Outcomes