Warnmeldungen: Üben mit Starterpaket-Regeln

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Suite enthält zwei Starterpaket-Regeln, damit Analysten sich mit dem Aussehen von Regeln vertraut machen können, bevor sie ihre eigenen Regeln erstellen. Verwenden Sie die Starterpaket-Regeln, um sich mit der Regelerstellung vertraut zu machen und das Bearbeiten und Bereitstellen von Regeln zu üben.

Die Starterpaket-Regeln sind in der Regelbibliothek installiert, die alle Regeln enthält, die Sie herunterladen oder erstellen. Die folgende Abbildung zeigt Beispielregeln in der „Regelbibliothek“.

Regelbibliothek mit Beispielregeln

Dies sind die verfügbaren Starterpaketregeln:

  • SAMPLE: P2P Software, wie von einem Meldesystem zur Erkennung von Eindringversuchen erkannt 
  • SAMPLE: Nicht-SMTP-Datenverkehr auf TCP-Port 25, der eine ausführbare Datei enthält
  • SAMPLE: Whitelist: von außerhalb Deutschlands, P2P-Software, wie von einem Meldesystem zur Erkennung von Eindringversuchen erkannt
  • SAMPLE: Blacklist: aus Ländern außerhalb der US, Nicht-SMTP-Datenverkehr auf TCP-Port 25, der eine ausführbare Datei enthält
  • SAMPLE: Benutzer derselben Administratorgruppe hinzugefügt gleicher Benutzer su Sudo

Beide Namen beginnen mit SAMPLE, um die in NetWitness Suite vorinstallierten Regeln von denen zu unterscheiden, die Sie herunterladen oder erstellen.

Regelbibliothek

Die Regelbibliothek enthält folgende Informationen zu einer Regel:

  • Name: fasst die Daten oder Ereignisse zusammen, die die Regel sammelt.
  • Beschreibung: erklärt die Regel detaillierter. Es wird jedoch nur der Anfang in der Regelbibliothek angezeigt.
  • Testregel: zeigt an, ob der Testmodus für die Regel aktiviert oder deaktiviert ist.
  • Typ: zeigt den Ursprung der Regel an (in der Regelerstellung oder erweiterten EPL erstellt oder von RSA Live heruntergeladen).

Regelbibliothek mit verschiedenen Arten von Regeln

Verfahren

  1. Navigieren Sie zu Konfigurieren > ESA-Regeln.
    Die Ansicht „ESA-Regeln“ wird mit geöffneter Registerkarte „Regeln“ angezeigt.
  2. Wählen Sie in der Regelbibliothek eine Beispielregel aus und klicken Sie auf Symbol „Bearbeiten“ oder doppelklicken Sie auf eine Regel.
    Die Regel wird in der Regelerstellung geöffnet.
    Regelerstellung mit Beispielregel
  3. Lesen Sie zum Üben mit einer Starterpaket-Regel die folgenden Themen für detaillierte Beschreibungen und Verfahren:

Nachdem Sie mit den Starterpaket-Regeln geübt haben, können Sie Ihre eigenen Regeln herunterladen, erstellen und bereitstellen.

Previous Topic:Rollenberechtigungen
You are here
Table of Contents > ESA-Regeltypen > Üben mit Starterpaket-Regeln

Attachments

    Outcomes