Warnmeldungen: Konfigurieren einer In-Memory-Tabelle als Erweiterungsquelle

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

Dieses Thema bietet Anweisungen zum Konfigurieren einer In-Memory-Tabelle. Wenn Sie eine In-Memory-Tabelle konfigurieren, laden Sie eine CSV-Datei als Eingabe in die Tabelle hoch. Sie können diese Tabelle einer Regel als Erweiterungsquelle zuordnen. Wenn die zugeordnete Regel eine Warnmeldung erzeugt, erweitert ESA die Warnmeldung um relevante Informationen aus der In-Memory-Tabelle.

Beispiel: Eine Regel könnte dazu konfiguriert sein, zu erkennen, wenn ein Benutzer versucht, Freeware herunterzuladen, und die Person anhand der Benutzer-ID in der Warnmeldung zu identifizieren. Die Warnmeldung könnte um zusätzliche Informationen aus einer In-Memory-Tabelle erweitert werden, die Details wie vollständigen Namen, Titel, Bürostandort und Mitarbeiternummer enthält.

Eine In-Memory-Tabelle eignet sich hervorragend für den Umgang mit kleinen Datenmengen. Sie lässt sich leicht einrichten und erfordert weniger Wartungsaufwand als eine Datenbank. Beispiel: Die Firma AllTech ist ein kleines Unternehmen, daher kann der Systemadministrator die Mitarbeiterinformationen in einer .CSV-Datei verwalten. Würde sich AllTech zu einem großen Unternehmen entwickeln, müsste der Administrator eine externe Datenbankreferenz zur Erweiterung konfigurieren und die Datenbank mit einer Regel verknüpfen.

Voraussetzungen

Der Spaltenname in der CSV-Datei darf keine Leerzeichen enthalten.

Beispielsweise ist Zeichenfolge_Adresse korrekt und Zeichenfolge Adresse falsch.

Die CSV-Datei muss mit einer Kopfzeile beginnen, die Felder und Datentypen definiert.
Beispielsweise würde Adresszeichenfolge das Kopfzeilenfeld als Adresse definieren und den Typ als Zeichenfolge.

Die folgende Abbildung zeigt eine gültige CSV-Datei, die als .CSV und als Tabelle dargestellt wird.

Gültige CSV-Datei

Methoden

Konfigurieren einer Ad-hoc-In-Memory-Tabelle

  1. Navigieren Sie zu Konfigurieren > ESA-Regeln.
    Die Ansicht „Konfigurieren“ wird mit geöffneter Registerkarte „ESA-Regeln“ angezeigt.
  2. Klicken Sie auf die Registerkarte Einstellungen.
  3. Wählen Sie im Bereich „Optionen“ die Option Erweiterungsquellen aus.
    Erweiterungsquellen
  4. Klicken Sie im Abschnitt Erweiterungsquellen auf „Liste hinzufügen“-Symbol In-Memory-Tabelle
    Ad-hoc-In-Memory-Tabelle.
  5. Beschreiben Sie die In-Memory-Tabelle:
    1. Wählen Sie Ad-hoc.
    2. Standardmäßig ist Aktiviert ausgewählt. Wenn Sie einer Regel eine In-Memory-Tabelle hinzufügen, werden Warnmeldungen mit den Daten aus der Tabelle erweitert.
      Wenn Sie einer Regel eine In-Memory-Tabelle hinzufügen, die Warnmeldungen aber nicht erweitert werden sollen, deaktivieren Sie das Kontrollkästchen.
    3. Geben Sie im Feld Benutzerdefinierter Tabellenname einen Namen für die Konfiguration der In-Memory-Tabelle ein, zum Beispiel „Studenteninformationen“.
    4. Wenn Sie erläutern möchten, welche Informationen die Erweiterung zu einer Warnmeldung hinzufügt, geben Sie eine Beschreibung ein, wie z. B.:
      Wenn eine Warnmeldung nach „Rollno“ gruppiert ist, fügt diese Erweiterung Studenteninformationen hinzu, z. B. Name und Markierungen. 
  6. Wählen Sie im Feld Daten importieren die CSV-Datei aus, aus der Daten in die In-Memory-Tabelle übertragen werden.
  7. Wenn Sie eine EPL-Abfrage schreiben möchten, um eine erweiterte Konfiguration für eine In-Memory-Tabelle zu definieren, wählen Sie Expertenmodus aus.
    Der Abschnitt „Tabellenspalten“ wird durch ein Feld Abfrage ersetzt.
  8. Klicken Sie im Abschnitt Tabellenspalten auf Hinzufügen-Symbol, um Spalten zur In-Memory-Tabelle hinzuzufügen. 
  9. Wenn Sie im Feld „Daten importieren“ eine gültige Datei ausgewählt haben, werden die Spalten automatisch ausgefüllt.

Hinweis: Wenn Sie den Expertenmodus ausgewählt haben, wird anstelle des Abschnitts „Tabellenspalten“ das Feld „Abfrage“ angezeigt.

  1. Wählen Sie bei Verwendung einer CSV-basierten In-Memory-Tabelle als Erweiterung im Drop-down-Menü Schlüssel das Feld aus, das als Standardschlüssel verwendet werden soll, um eingehende Ereignisse mit der In-Memory-Tabelle zu verbinden. Standardmäßig ist die erste Spalte ausgewählt. Sie können den Schlüssel auch später ändern, wenn Sie die In-Memory-Tabelle in Erweiterungsquellen öffnen.
  2. Wählen Sie im Drop-down-Menü Max. Zeilen die maximale Anzahl der Zeilen aus, die eine bestimmte Instanz der In-Memory-Tabelle enthalten kann.
  3. Wählen Sie Fortbestehen aus, um die In-Memory-Tabelle auf dem Datenträger beizubehalten, wenn der ESA-Service angehalten wird, und um die Tabelle wieder aufzufüllen, wenn der Service wieder gestartet wird.
  4. Führen Sie im Feld Format der gespeicherten Datei eine der folgenden Optionen aus:
    • Wählen Sie Objekt, wenn Sie die Datei im binären Format speichern möchten.
    • Wählen Sie JSON, wenn Sie die Datei im Textformat speichern möchten.
      Standardmäßig ist Objekt ausgewählt.
  5. Klicken Sie auf Speichern.
    Die Ad-hoc-In-Memory-Tabelle ist konfiguriert. Sie können sie der Regel als Erweiterung oder als Teil der Regelbedingung hinzufügen. Siehe Hinzufügen einer Erweiterung zu einer Regel.

Wenn Sie eine In-Memory-Tabelle hinzufügen, können Sie sie einer Regel als Erweiterung oder als Teil der Regelbedingung hinzufügen. Zum Beispiel verwendet die folgende Regel eine In-Memory-Tabelle als Teil der Regelbedingung zur Erstellung einer Whitelist und sie verwendet ebenfalls eine In-Memory-Tabelle mit Details in der Datei „user_dst“, um die Warnmeldung, die angezeigt wird, zu erweitern. 

Die Regel zeigt die In-Memory-Tabelle als eine Whitelist-Regelbedingung an:

In-Regel-Erweiterung

Als Nächstes wird die Warnmeldung um die In-Memory-Tabelle „User_list“ erweitert:

Erweiterung nach der Warnmeldung

Aus diesem Grund wird die In-Memory-Tabelle „user_dst“ verwendet, um eine Whitelist zu erstellen, und sie wird auch verwendet, um die Daten in der Warnmeldung zu erweitern, wenn die Warnmeldung ausgelöst wird. 

Hinzufügen einer wiederkehrenden In-Memory-Tabelle

  1. Navigieren Sie zu Konfigurieren > ESA-Regeln.
    Die Ansicht „Konfigurieren“ wird mit geöffneter Registerkarte „ESA-Regeln“ angezeigt.
  2. Klicken Sie auf die Registerkarte Einstellungen.
  3. Wählen Sie im Bereich „Optionen“ die Option Erweiterungsquellen aus.
  4. Klicken Sie auf „Liste hinzufügen“-SymbolIn-Memory-Tabelle.
  5. Beschreiben Sie die In-Memory-Tabelle:
    1. Klicken Sie auf Wiederkehrend.
    2. Standardmäßig ist Aktiviert ausgewählt. Wenn Sie einer Regel eine In-Memory-Tabelle hinzufügen, werden Warnmeldungen mit den Daten aus der Tabelle erweitert.
      Wenn Sie einer Regel eine In-Memory-Tabelle hinzufügen, die Warnmeldungen aber nicht erweitert werden sollen, deaktivieren Sie das Kontrollkästchen.
    3. Geben Sie im Feld Benutzerdefinierter Tabellenname einen Namen für die Konfiguration der In-Memory-Tabelle ein, zum Beispiel „Studenteninformationen“.
    4. Wenn Sie erläutern möchten, welche Informationen die Erweiterung zu einer Warnmeldung hinzufügt, geben Sie eine Beschreibung ein, wie z. B.:
      Wenn eine Warnmeldung nach „Rollno“ gruppiert ist, fügt diese Erweiterung Studenteninformationen hinzu, zum Beispiel Name und Markierungen.
  6. Geben Sie die URL der CSV-Datei ein, die die In-Memory-Tabelle mit Daten befüllt. Klicken Sie auf „Überprüfen“, um den Link zu validieren und die Spalten in der CSV-Datei zu befüllen.  Sie können mithilfe der Plus- und Minus-Schaltflächen Spalten hinzufügen oder entfernen. 
  7. Wenn der Server hinter einem anderen Server konfiguriert ist, wählen Sie Proxy verwenden aus.
  8. Wenn Anmeldeinformationen für den Server erforderlich sind, wählen Sie Authentifiziert aus.
  9. Geben Sie als Wiederholungsintervall an, wie oft ESA die letzte CSV-Datei prüfen muss:
    1. Wählen Sie Minute(n), Stunde(n), Tag(e) oder Woche aus.
    2. Wenn Sie „Woche“ auswählen, wählen Sie einen Wochentag aus. 
    3. Klicken Sie auf Datumsbereich, um ein Startdatum und ein Enddatum für den wiederkehrenden Plan auszuwählen.
      Datumsbereich
  10. Wählen Sie bei Verwendung einer CSV-basierten In-Memory-Tabelle als Erweiterung im Drop-down-Menü Schlüssel das Feld aus, das als Standardschlüssel verwendet werden soll, um eingehende Ereignisse mit der In-Memory-Tabelle zu verbinden. Standardmäßig ist die erste Spalte ausgewählt. Sie können den Schlüssel auch später ändern, wenn Sie die In-Memory-Tabelle in Erweiterungsquellen öffnen.
  11. Wählen Sie im Drop-down-Menü Max. Zeilen die Anzahl der Zeilen aus, die die eine bestimmte Instanz der In-Memory-Tabelle enthalten kann.
  12. Wählen Sie Fortbestehen aus, um die In-Memory-Tabelle auf dem Datenträger beizubehalten, wenn der ESA-Service angehalten wird, und um die Tabelle wieder aufzufüllen, wenn der Service wieder gestartet wird.
  13. Führen Sie im Feld Format der gespeicherten Datei eine der folgenden Optionen aus:
    • Wählen Sie Objekt, wenn Sie die Datei im binären Format speichern möchten.
    • Wählen Sie JSON, wenn Sie die Datei im Textformat speichern möchten.
      Standardmäßig ist Objekt ausgewählt.
  14. Klicken Sie auf Speichern.
    Die wiederkehrende In-Memory-Tabelle ist konfiguriert. Sie können sie der Regel als Erweiterung oder als Teil der Regelbedingung hinzufügen. Siehe Hinzufügen einer Erweiterung zu einer Regel.

Konfigurieren eine Esper-Abfrage als Erweiterungsquelle

Bei Verwendung des „Expertenmodus“ können Sie eine Erweiterungsquelle oder ein benanntes Fenster basierend auf einer Esper-Abfrage erstellen. So haben Sie mehr Kontrolle über den Inhalt und können dynamischere Inhalte erstellen. Wenn Sie dies tun, erstellt eine EPL-Abfrage das benannte Fenster zur Erfassung eines interessanten Zustands aus dem Ereignisstream.

Workflow

Nachfolgenden sehen Sie den Workflow für die Erstellung einer Abfrage unter Verwendung eines benannten Fensters:

  1. Das Ereignis wird an die Esper-Engine gesendet.
  2. Eine EPL-Abfrage wird erzeugt.
  3. Eine Warnmeldung wird ausgelöst.
  4. Die Abfrage überprüft, ob eine Verbindung zwischen dem Ereignis und das benannten Fenster vorhanden ist.
  5. Wenn eine Verbindung vorhanden ist, wird die Abfrage, die das benannte Fenster füllt, ausgeführt und ausgefüllt.
  6. Der Inhalt des benannten Fensters wird dem Inhalt der Warnmeldung hinzugefügt und gesendet oder angezeigt (je nach Ihren Einstellungen).

Esper-Abfrage-Workflow

Voraussetzungen

  • Die in der EPL-Anweisung verwendeten Metadaten müssen in den Daten vorhanden sein.
  • Sie müssen wohlgeformte EPL-Anweisungen erstellen.

Verfahren

Konfigurieren einer In-Memory-Tabelle mit einer EPL-Abfrage

  1. Navigieren Sie zu Konfigurieren > ESA-Regeln.
    Die Ansicht „Konfigurieren“ wird mit geöffneter Registerkarte „Regeln“ angezeigt.
  2. Klicken Sie auf die Registerkarte Einstellungen.
  3. Wählen Sie im Bereich „Optionen“ die Option Erweiterungsquellen aus.
  4. Klicken Sie im Abschnitt Erweiterungsquellen auf „Liste hinzufügen“-Symbol In-Memory-Tabelle
    In-Memory-Tabelle: Erweiterte Abfrage erweitern.
  5. Wählen Sie Ad-hoc aus.
    Standardmäßig ist Aktiviert ausgewählt. Wenn Sie einer Regel eine In-Memory-Tabelle hinzufügen, werden Warnmeldungen mit den Daten aus der Tabelle erweitert.
  6. Geben Sie im Feld Benutzerdefinierter Tabellenname einen beschreibenden Namen ein, um die In-Memory-Tabelle zu beschreiben.
  7. Wenn Sie erklären möchten, was die Erweiterung einer Warnmeldung hinzufügt, geben Sie Informationen in das Feld Beschreibung ein.
    Diese Beschreibung wird angezeigt, wenn Sie die Liste der Erweiterungen aus der Ansicht „Erweiterungsquellen“ anzeigen. Daher ist es empfehlenswert, als Best Practice eine detaillierte Beschreibung einzugeben. Dadurch können andere Benutzer den Inhalt der Erweiterung verstehen, ohne sie zu öffnen, um den Inhalt zu untersuchen.
  8. Wählen Sie den Expertenmodus, um eine erweiterte Konfiguration für eine In-Memory-Tabelle zu definieren, indem Sie eine EPL-Abfrage schreiben.
    Der Abschnitt „Tabellenspalten“ wird durch ein Feld Abfrage ersetzt.
  9. Wählen Sie Fortbestehen aus, um die In-Memory-Tabelle auf dem Datenträger beizubehalten, wenn der ESA-Service angehalten wird, und um die Tabelle wieder aufzufüllen, wenn der Service wieder gestartet wird.
  10. Geben Sie die EPL-Abfrage in das Feld Abfrage ein. Die Abfrage sollte wohlgeformt sein und getestet werden, bevor sie in das Feld eingegeben wird.
  11. Klicken Sie auf Speichern.

Beispiel

Beispielsweise können Sie eine Regel erstellen, die nach fünf fehlgeschlagenen Anmeldungen gefolgt von einer erfolgreichen Anmeldung sucht. Wenn diese Regel ausgelöst wird, kann die Benachrichtigung Informationen über den Benutzer enthalten, der zuletzt am System angemeldet war, als diese erfolgreiche Anmeldung erfolgt ist. Um diese Erweiterung der Benachrichtigung hinzuzufügen, können Sie eine Stream-basierte In-Memory-Lookup-Tabelle erstellen, die von eingehenden Ereignissen ausgefüllt wird, um eine Zuordnung von IP-Adressen zu dem letzten über diese Adresse angemeldeten Benutzer beizubehalten. Um dies zu erreichen, erstellen Sie eine Erweiterung mithilfe einer Abfrage als Quelle.

Schritt 1: Erstellen der Regel

Zunächst müssen Sie Ihre Korrelationsregel erstellen. In diesem Fall erstellen Sie Regelbedingungen für Fehler und Erfolg und gruppieren nach „ip_src“.

                               
RegelbedingungBeschreibung
FailuresDiese Bedingung sucht nach 5 fehlgeschlagenen Anmeldungen mit einem „followed by“-Connector. Das bedeutet, dass der Bedingung (Failure) die nächste Bedingung (Success) folgen muss.
SuccessDiese Bedingung sucht nach einer erfolgreichen Anmeldung. 
GroupBy: ip_src, GeräteklasseDas Feld „GroupBy“ sorgt dafür, dass alle vorherigen Bedingungen nach Geräteklasse „ip_srcand“ gruppiert werden. Dies ist wichtig für die Erstellung der Regel, da die Regel versucht, einen Fall zu finden, in dem ein Benutzer mehrere Male versucht hat, sich bei dem gleichen Zielkonto anzumelden und sich dann schließlich erfolgreich angemeldet hat. Durch das Gruppieren nach Geräteklasse wird sichergestellt, dass der Benutzer, der an demselben Computer angemeldet ist, mehrmals versucht hat, sich an einem Konto anzumelden. Die Regel gibt möglicherweise unerwartete Ergebnisse zurück, wenn Sie die Ergebnisse nicht gruppieren.
Auftreten innerhalb 5 MinutenDas Zeitfenster für das Eintreten des Ereignisses beträgt 5 Minuten. Wenn die Ereignisse außerhalb dieses Zeitfensters auftreten, wird die Regel nicht ausgelöst. 
Ereignissequenz: StriktDie Ereignissequenz wird für eine strenge Musterübereinstimmung konfiguriert. Das bedeutet, dass das Muster genau wie angegeben übereinstimmen muss, ohne dazwischen vorkommende Ereignisse. 

Für die Regelbedingungen erstellen Sie die folgenden Anweisungen:

  • Die Anweisung „Fehler“ sucht nach fehlgeschlagenen Anmeldeversuchen:
    Fehler-Anweisung
  • Die Anweisung „Erfolg“ sucht nach einer erfolgreichen Anmeldung:
    Erfolg-Anweisung
  • Kombiniert haben Sie die folgende Korrelationsregel:
    Anmeldefehler gefolgt von Erfolg

Schritt 2: Erstellen der Erweiterung

Nun, da Sie Ihre Regel erstellt haben, müssen Sie die Erweiterung erstellen, die der Benachrichtigungsausgabe hinzugefügt werden soll. Befolgen Sie die obigen Schritte, um die Erweiterung zu erstellen, nennen Sie sie Last_Logon und fügen Sie die folgende Abfrage hinzu:

create window LastLogon.std:unique(ip_src) as (ip_src string, user_dst string);

insert into LastLogon select ip_src, user_dst from CoreEvent

where ec_activity='Logon' and ec_outcome='Success';

Die Erweiterung sollte wie folgt aussehen:

Dialogfeld „In-Memory-Tabelle“ mit erweiterter Abfrage

 

Schritt 3: Hinzufügen der Erweiterung zur Regel

Nun, da Sie Ihre grundlegende Regel und Ihre Erweiterung erstellt haben, müssen Sie die Erweiterung der Regel hinzufügen und die Erweiterung mit den Metadaten in der Regel verknüpfen (oder verbinden).

Öffnen Sie die Regel „Login_Failure_Followed_by_Success“ zur Bearbeitung.

Erweiterung Regel hinzugefügt

                                 
FeldEingabeBeschreibung
Ausgabe

In-Memory-Tabelle

Mit der Option „In-Memory-Tabelle“ erstellen Sie ein benanntes Fenster, das mit den Daten der EPL-Abfrage ausgefüllt werden kann.
ErweiterungsquelleLast_Logon (die oben erstellte Erweiterung).Dies ist die Stream-basierte In-Memory-Lookup-Tabelle, die von eingehenden Ereignissen ausgefüllt wird, um eine Zuordnung von IP-Adressen zu dem letzten über diese Adresse angemeldeten Benutzer beizubehalten.

ESA Ereignis-Stream-Metadaten

ip_src

Hierbei handelt es sich um Ereignis-Stream-Metadaten, die Sie den Erweiterungsdaten hinzufügen können, die Sie eingeben. Im Grunde ist „ip_src“ die Verknüpfungsbedingung.

Spaltenname „Erweiterungsquelle“ip_srcHierbei handelt es sich um die Metadaten aus der Erweiterung, die Sie den Ereignis-Stream-Daten hinzufügen können. Es müssen die gleichen wie die Verknüpfungsbedingung aus dem Feld „Ereignis-Stream-Metadaten“ sein.

Nachdem Sie die Erweiterung hinzugefügt haben, können Sie die Regel speichern.

Wenn die Regel ausgelöst wird, führt der ESA-Service die Abfrage in der Erweiterung aus und füllt das benannte Fenster mit den Daten. Wenn die Daten im benannten Fenster mit der Verknüpfungsbedingung übereinstimmen, werden die Daten der Ausgabe hinzugefügt, die Sie als E-Mail, SNMP, Syslog oder Skript anzeigen können, je nachdem, wie Sie Benachrichtigungen konfiguriert haben.

You are here
Table of Contents > Hinzufügen einer Datenerweiterungsquelle > Erweiterungsquellen > Konfigurieren einer In-Memory-Tabelle als Erweiterungsquelle

Attachments

    Outcomes