Informes: Descripción general de una regla

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporciona una descripción breve de una regla. Una regla es el elemento esencial y básico del módulo Reporting. Se debe crear una regla que se pueda usar en informes, gráficos o alertas.

Elementos esenciales de una regla

Una regla representa una consulta única que detecta y resume la información solicitada dentro de una recopilación de datos de red. Por ejemplo, puede escribir una regla para ver las 20 direcciones web principales que sus usuarios visitan diariamente o una regla para detectar la presencia de autenticación de texto sin cifrar en sus activos de alto valor.

La sintaxis de una regla es muy similar a la del lenguaje de consulta estándar (SQL) donde puede usar la cláusula SELECT, la cláusula WHERE, clasificar y agrupar opciones y límites para el conjunto de resultados. Una regla consta de lo siguiente:

                                           
PropiedadDescripciónEjemplo
NombreEl nombre de la regla.Actividad de cuenta del sistema Windows
SeleccionarLista de los tipos de metadatos que se devuelven en el conjunto de resultados. La lista de los tipos de metadatos se proporciona en la biblioteca de metadatos. La biblioteca de metadatos en el generador de reglas está constantemente sincronizada con la configuración de índices del host de Security Analytics al cual está conectada esta aplicación. La cantidad de tipos de metadatos que esta propiedad puede representar depende de cómo se clasifica la regla. Si la propiedad Ordenar por es “Ninguno” o no agregado, una regla puede tener más de un campo de selección, por ejemplo, para cada coincidencia, incluir el ip.src, ip.dst, el tamaño, la hora en el resultado de la regla. Si una regla está establecida para clasificarse, por conteo de sesiones, tamaño de sesión, o tamaño de paquete, puede haber solo un campo en el cual seleccionar. 
DondeUna cláusula que constituye la consulta base de la regla.alert='cleartext_ftp_passwords'
Then (acciones de la regla)Una serie de funciones que manipulan el conjunto de resultados original de una regla para lograr que la salida en un informe sea más concreta o agregar una funcionalidad adicional distinta a la consulta de datos y su visualización. lookup_and_add ('username','ip.src',10);

Ordenar por

Determina cómo se ordenan los datos del conjunto de resultados. Las diversas posibilidades son:

  • Total
  • Valor

Total

LímiteDesigna el tamaño máximo de un conjunto de resultados para la regla determinada. Los usuarios deben tener en cuenta que si un conjunto de resultados se clasifica por conteo o tamaño, el límite representa los N valores superiores (o inferiores) que se devolverán. Si el conjunto de resultados no se ordena, se devuelven los primeros valores N.20

Nota: En la interfaz del usuario, la fecha o la hora mostradas dependen de la zona horaria que seleccionó el usuario.

Previous Topic:Solución de problemas
You are here
Table of Contents > Trabajo con reglas de Reporting > Descripción general de una regla

Attachments

    Outcomes