Informes: Reglas simples de la base de datos de Warehouse

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporcionan ejemplos de reglas de origen de datos de Warehouse. Puede definir reglas de base de datos de Warehouse mediante consultas de HIVE. Puede definir reglas simples y avanzadas para el origen de datos de Warehouse mediante los siguientes modos:

  • Modo Predeterminado 
  • Modo experto

En el modo Predeterminado, las reglas simples se definen con cláusulas como Select, Where, Group by y Having para consultar el origen de datos. De manera predeterminada, puede crear reglas para realizar consultas a las sesiones o registros crudos.

Los siguientes ejemplos ilustran reglas simples en el modo predeterminado:

  • Informe Todas las categorías de eventos
  • Informe Categorías de eventos de ataques
  • Fuente: Informe Categorías de eventos de China
  • Informe Categorías de eventos de direcciones IP de origen y destino
  • Informe Categorías de amenazas por tiempo
  • Informe Consulta de arreglo
  • Informe Consulta de registro crudo

Informe Todas las categorías de eventos

Esta regla recupera todas las categorías de eventos, país de origen y país de destino desde la tabla sesiones con la definición de los nombres de alias (nombres de columna temporales) para cada uno de los campos que se recuperarán desde la tabla, es decir, country_src para el país de origen y country_dst para el país de destino.

103-SP3_All_ event categories.png

En la siguiente figura se muestra el conjunto de resultados de la regla Todas las categorías de eventos.

103-SP3_All_ event categories_output.JPG

Informe Categorías de eventos de ataques

Esta regla recupera las categorías de eventos, el país de origen y el país de destino desde la tabla sesiones con la definición de los nombres de alias (nombres de columna temporales) para cada uno de los campos que se recuperarán desde la tabla y la selección solo de las columnas cuyo nombre de categoría de evento sea como “Attacks.%”.  

103-SP3_Attacks_ event categories.png

En la siguiente figura se muestra el conjunto de resultados de la regla Categorías de eventos de ataques.

103-SP3_Attacks_ event categories_output.JPG

Fuente: Informe Categorías de eventos de China

Esta regla recupera las categorías de eventos, el país de origen y el país de destino desde la tabla sesiones con la definición de los nombres de alias (nombres de columna temporales) para cada uno de los campos que se recuperarán desde la tabla y la selección solo de las columnas cuyo país de origen sea “China”. 

103-SP3_Source_China_Event_Categories.png

En la siguiente figura se muestra el conjunto de resultados de la regla Origen: Categorías de eventos de China.

104_Source_China_Event_Categories_output.png

Informe Categorías de eventos de direcciones IP de origen y destino

Esta regla recupera la dirección IP del país de origen y de destino desde la tabla sesiones con la definición de los nombres de alias (nombres de columna temporales) para cada uno de los campos que se recuperarán desde la tabla y la selección solo de las columnas cuyo país de destino sea NO NULO. 

103-SP3_Destination Country by Source IP.JPG

En la siguiente figura se muestra el conjunto de resultados de la regla Categorías de eventos de direcciones IP de origen y destino.

103-SP3_Destination Country by Source IP_output.JPG

Informe Categorías de amenazas por tiempo

Esta regla recupera los eventos de la categoría de amenaza, la hora en que se recopiló el registro o el evento en Log Decoder/Decoder y las direcciones IP de origen desde la tabla sesiones con la definición de los nombres de alias (nombres de columna temporales) para cada uno de estos campos que se recuperarán desde la tabla. 

103-SP3_by Time_Threat Categories.png

En la siguiente figura se muestra el conjunto de resultados de la regla Categorías de amenazas por tiempo. El tiempo que aparece en el campo de tiempo es el tiempo UNIX (por ejemplo, 1388743446). 

Nota: En la cláusula “Select” la sintaxis sería “UNIX time” para una conversión a la hora UTC en el informe. Por ejemplo, puede usar la herramienta de conversión de hora Epoch para convertir la hora UNIX (1388743446) en UTC (hora universal coordinada) (03/01/2014 15:34:06 h). 

103-SP3_by Time_Threat Categories_output.JPG

Informe Consulta de arreglo

Esta regla recupera un arreglo de nombres de host de alias desde la tabla sesiones que contiene el valor “www.google.com”. 

103-SP3_Array_Contains_Query.JPG

En la siguiente figura se muestra el conjunto de resultados para consultar un arreglo desde las sesiones.

103-SP3_Array_Contains_output.JPG

Informe Consulta de registro crudo

Se pueden consultar los registros crudos desde la tabla de registro o de sesiones.

Esta regla usa raw_log como metadatos para consultar el registro crudo desde registros cuyo ID de paquete NO SEA NULO.

103-SP3_Raw_Query.png

En la siguiente figura se muestra el conjunto de resultados para consultar registros crudos desde registros.

104_raw__log_from_logs_output.png

Esta regla usa ${raw_log} como metadatos para consultar un registro crudo desde sesiones cuya dirección IP de origen NO SEA NULA.

103-SP3_Raw_Logs_from_Sessions.png

En la siguiente figura se muestra el conjunto de resultados para consultar registros crudos desde sesiones.

104_raw_ log from sessions_output.png

You are here
Table of Contents > Referencias del módulo Reporting > Referencias de reglas > zzWhDBRulDefMod > Reglas simples de la base de datos de Warehouse

Attachments

    Outcomes