Warnmeldungen: Herunterladen von konfigurierbaren ESA-Regeln von RSA Live

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema wird erläutert, wie Sie konfigurierbare Regeln vom NetWitness Suite Live-Contentmanagementsystem herunterladen, sodass Sie sie Ihrem Bedarf anpassen können.

RSA Live enthält einen Regelkatalog. Jede Regel hat konfigurierbare Parameter, sodass Sie die Regel an Ihre Umgebung anpassen können. Wenn RSA Live eine Regel zur Erkennung von Ereignissen bietet, die Sie im Netzwerk erkennen möchten, sparen Sie Zeit, indem Sie diese Regel herunterladen. Sie können die konfigurierbaren Parameter bearbeiten und die Regel in Ihrer Regelbibliothek speichern. 

Hier sehen Sie ein Beispiel dafür, wie die RSA Live-ESA-Regeln in RSA Live beschrieben werden:

               
Name der RegelBeschreibung
Anmeldungen auf mehreren ServernErkennt Anmeldungen desselben Benutzers auf 3 oder mehr einzelnen Servern innerhalb von 5 Minuten.

Das Zeitfenster und die Anzahl eindeutiger Ziele sind konfigurierbar.

Wie der Name sagt, sucht die Regel nach Anmeldungen über mehrere Server hinweg. Die Beschreibung bietet eine genauere Erklärung der Regelkriterien und gibt an, welche Parameter Sie ändern können.

Hinweis: Wenn eine Regelbeschreibung einen konfigurierbaren Parameter umfasst, wird die Standardeinstellung für diesen verwendet. In der Beispielregelbeschreibung sind 5 Minuten angegeben. Da das Zeitfenster aber konfigurierbar ist, ist 5 die Standardanzahl von Minuten.

Voraussetzungen

Dies sind die Voraussetzungen für das Herunterladen von konfigurierbaren RSA Live ESA-Regeln.

  • Sie müssen zum Regelmanagement berechtigt sein.
  • Erstellen eines Live-Kontos. Weitere Informationen finden Sie im Handbuch Live-Servicemanagement.
  • Richten Sie Live auf NetWitness Suite ein. Weitere Informationen finden Sie im Handbuch Live-Servicemanagement.

Verfahren

So laden Sie konfigurierbare ESA-Regeln von RSA Live herunter:

  1. Navigieren Sie zu Konfigurieren > ESA-Regeln.
    Die Registerkarte Regeln wird angezeigt.
  2. Klicken Sie im Bereich „Optionen“ auf Regeln von RSA Live abrufen.
    Die Ansicht „Live-Inhaltssuche“ wird angezeigt.
    RSA Live-Suche von ESA-Regeln
  3. Wählen Sie in den Suchkriterien als Ressourcentyp die Option RSA Event Stream Analysis-Regel aus.
  4. Legen Sie die folgenden Kriterien nach Bedarf fest, um eine Regel zum Konfigurieren für Ihre Umgebung zu suchen.
    Genaue Beschreibungen der Suchkriterien finden Sie unter „Die Ansicht Live-Suche“ im Handbuch Live-Servicemanagement.
    1. Stichwörter
    2. Tags
    3. Erforderliche Metaschlüssel
    4. Erzeugte Metawerte
    5. Erstellungsdatum der Ressource
    6. Änderungsdatum der Ressource
  5. Klicken Sie auf Search. In Übereinstimmende Ressourcen werden die Regeln angezeigt, die mit den Suchkriterien übereinstimmen.
  6. Wählen Sie alle Regeln aus, die Sie herunterladen möchten, und klicken Sie auf Bereitstellen
    Der Bereitstellungsassistent wird angezeigt
  7. Befolgen Sie die Schritte im Assistenten. Wenn Sie weitere Informationen benötigen, siehe „Bereitstellen von Ressourcen in Live“ im Handbuch Live-Servicemanagement.

Wenn Sie die Schritte im Assistenten abgeschlossen haben, werden die ausgewählten Regeln in der Regelbibliothek angezeigt.

You are here
Table of Contents > Hinzufügen von Regeln zur Regelbibliothek > Herunterladen von konfigurierbaren ESA-Regeln von RSA Live

Attachments

    Outcomes