Warnmeldungen: Hinzufügen einer Erweiterung zu einer Regel

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema wird erläutert, wie eine zuvor konfigurierte Erweiterungsquelle zu einer Regel hinzugefügt wird. Wenn ESA eine Warnmeldung erstellt, werden die Informationen aus dieser Quelle einbezogen.

Durch Hinzufügen einer Erweiterungsquelle können Sie eine Suche in einer Vielzahl von Quellen anfordern und die Ergebnisse in die ausgehenden Warnmeldungen integrieren, um deren Inhalt detaillierter zu gestalten. Für dieses Verfahren sind die Rollenberechtigungen Administrator, DPO und SOC Manager erforderlich.

Verfahren

So fügen Sie einer Regel eine Erweiterung hinzu:

  1. Navigieren Sie zu Konfigurieren > ESA-Regeln.
  2. Führen Sie in der Ansicht Regelbibliothek einen der folgenden Schritte aus:
    • Doppelklicken Sie auf eine Regel.
    • Wählen Sie eine Regel aus und klicken Sie in der Symbolleiste der Regelbibliothek auf Symbol „Bearbeiten“.
    Der Bereich „Regelerstellung“ wird in einer neuen NetWitness Suite-Registerkarte angezeigt.
  3. Klicken Sie im Bereich Erweiterungen auf „Liste hinzufügen“-Symbol und wählen Sie einen der folgenden Erweiterungstypen aus: 
    • In-Memory-Tabelle
    • Externer DB-Verweis
    • Warehouse Analytics
    • GeoIP

      Hinweis:  Wenn Sie eine GeoIP-Quelle verwenden, wird ipv4 automatisch ausgefüllt und kann nicht bearbeitet werden. 

    Die von Ihnen ausgewählten Erweiterungstypen werden in der Tabelle angezeigt.
  4. Gehen Sie für den hinzugefügten Erweiterungstyp wie folgt vor:
    • Wählen Sie in der Spalte Ausgabe den Typ aus, den Sie konfiguriert haben.
    • Wählen Sie in Drop-down-Liste Erweiterungsquelle die definierte Erweiterungsquelle aus.
    • Geben Sie im Feld ESA Ereignis-Stream-Metadaten den Metaschlüssel des Ereignis-Streams ein, dessen Wert als ein Operand der Verknüpfungsbedingung verwendet wird.
      Abschnitt „Regelerweiterung“
    • Geben Sie im Feld Spaltenname „Erweiterungsquelle“ den Spaltennamen der Erweiterungsquelle ein, dessen Wert als weiterer Operand der Verknüpfungsbedingung verwendet wird.
  5. Wählen Sie Debuggen aus. Hierdurch wird eine @Audit(‚Stream‘)-Anmerkung zur Regel hinzugefügt. Das ist für das Debuggen der Esper-Regeln von Vorteil.
  6. Klicken Sie auf Syntax anzeigen, um zu testen, ob die definierte ESA-Regel gültig ist.
  7. Klicken Sie auf Speichern.

Nähere Einzelheiten zu Parametern und deren Beschreibung finden Sie auf der Registerkarte Registerkarte Regelerstellung.

You are here
Table of Contents > Hinzufügen einer Datenerweiterungsquelle > Hinzufügen einer Erweiterung zu einer Regel

Attachments

    Outcomes