Warnmeldungen: ESA-Anmerkungen

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Thema werden Anmerkungen beschrieben, die NetWitness Suite zur Verwendung in erweiterten EPL-Regeln bereitstellt.

@RSAAlert-Anmerkung

Mit der @RSAAlert-Anmerkung können die EPL-Anweisungen markiert werden, die mit erzeugten Warnmeldungsbenachrichtigungen verknüpft sind. Sie ist auf die Verwendung zusammen mit der Funktion zur Unterdrückung von Warnmeldungsbenachrichtigungen in der Benutzeroberfläche der Regelerstellung ausgelegt.

Die @RSAAlert-Anmerkung kann bei der Arbeit mit Warnmeldungsbenachrichtigungen hilfreich sein, insbesondere wenn Sie Benachrichtigungen filtern möchten, z. B. das Senden einer Benachrichtigung für jeden Benutzer, der eine Warnmeldung auslöst.

Nehmen wir beispielsweise an, dass Sie Warnmeldungsbenachrichtigungen für Anmeldungsfehler erzeugen möchten. Sie können die folgende Anweisung hinzufügen:

@RSAAlert select * from event(msg_id=“login_fail")

 

                                                  
EreignisnummerMeldungs-IDusernamesrc_IPUhrzeit
1login_failalice1.2.3.410:00
2login_failalice1.2.3.410:01
3login_failalice6.7.8.910:01
4login_failbob1.2.3.410:01
5login_failalice1.2.3.410:03

 

Für die obige Anweisung werden fünf Warnmeldungen generiert.

Nehmen wir jedoch an, dass Sie die Anweisung so ändern möchten, dass eine Warnmeldung für jeden separaten Benutzernamen generiert wird. Sie können das Attribut identifier verweden. Beispielsweise generiert die Anweisung @RSAAlert(identifier={”username”}) SELECT* FROM Event(msg_id=”login_fail”) eine Benachrichtigung für die erste Warnmeldung für „bob“ und eine für die erste Warnmeldung für „alice“. Nachfolgende Warnmeldungen für „bob“ und „alice“ werden ignoriert.

Sie können die Benutzer weiter unterscheiden, indem Sie Details über die identifier-Variable hinzufügen. Sie können beispielsweise anhand der folgenden Anweisung nach Benutzer und IP-Adresse unterscheiden: @RSAAlert(identifier={”username”, "src_ip"}) SELECT* FROM Event(msg_id=”login_fail”). Anschließend würden Sie Benachrichtigungen sehen, die nach Benutzername und IP-Adresse generiert werden (eine Warnmeldung für „alice“ unter 1.2.3.4, eine weitere Warnmeldung für „alice“ unter 6.7.8.9 und eine Warnmeldung für „bob“ unter 1.2.3.4).

So verwenden Sie Kennungen mit Unterdrückung von Warnmeldungsbenachrichtigungen:

Die @RSAAlert-Anweisung ist auf die Verwendung zusammen mit der Funktion zur Unterdrückung von Warnmeldungsbenachrichtigungen in der Benutzeroberfläche der Regelerstellung ausgelegt. Gehen Sie hierfür folgendermaßen vor:

  1. Erstellen Sie eine Regel in der Benutzeroberfläche der Regelerstellung und wählen Sie die Funktion für die Unterdrückung von Warnmeldungen aus, wenn Sie Benachrichtigungen konfigurieren.

Benachrichtigungsunterdrückung

  1. Kopieren Sie den Code aus der Regelerstellungsregel in eine neue erweiterte Regel.

  2. Konfigurieren Sie die erweiterte Regel für die Einbeziehung von Kennungen (wie oben beschrieben) und speichern Sie die erweiterte Regel.

  3. Löschen Sie die ursprüngliche Regelerstellungsregel.

@RSAPersist-Anmerkung

Mit der @RSAPersist-Anmerkung kann ein benanntes Fenster als von ESA verwaltetes, persistentes Fenster markiert werden. Nachdem ein benanntes Fenster als von ESA verwaltetes Fenster markiert wurde, schreibt ESA die Inhalte des Fensters regelmäßig auf die Festplatte und stellt sie wieder her, wenn die Bereitstellung des Fensters aufgehoben wurde und es wiederhergestellt werden soll. Das System erfasst kurz vor dem Aufheben der Bereitstellung des Moduls und der Entfernung des Fensters einen Snapshot. In ähnlicher Weise stellt es die Fensterinhalte aus dem Snapshot sofort nach dem erneuten Bereitstellen des Moduls wieder her. Damit wird sichergestellt, dass die Inhalte des Fensters nicht verloren gehen, wenn sich der Modulstatus ändert oder der ESA-Service ausfällt.

Beispiel: Das Fenster mit der Bezeichnung DHCPTracker  enthält eine Zuordnung von IP-Adressen zu dem zuletzt zugewiesenen Hostnamen. Sie können der Anweisung folgende @RSAPersist-Anmerkung hinzufügen:

@RSAPersist
create window DHCPTracker.std:unique(ip_src) as (ip_src string, alias_host string);
insert into DHCPTracker select IP as ip_src, HostName as alias_host from DHCPAssignment(ID=32);

Hinweis: Nicht alle Fensterdefinitionen eignen sich für die Persistenz. @RSAPersist -Anmerkungen müssen mit Vorsicht verwendet werden. Wenn das Fenster über Datensätze mit Zeitangaben verfügt oder wenn es von zeitbasierten Einschränkungen abhängt, ist es sehr wahrscheinlich, dass das Fenster durch den Snapshot nicht im richtigen Status wiederhergestellt wird. Außerdem machen alle Änderungen an der Fensterdefinition den Snapshot ungültig, sodass das Fenster auf einen leeren Status zurückgesetzt werden würde. Das System führt keine semantische Analyse durch, um zu ermitteln, ob die Änderungen einer Fensterdefinition Konflikte auslösen. Beachten Sie, dass Änderungen an anderen Teilen eines Moduls (d. h. anderen als dem CREATE WINDOW-Aufruf, der das Fenster definiert) die Snapshots nicht ungültig machen.

@UsesEnrichment (10.6.1.1 und höher)

@UsesEnrichment kann in erweiterten EPL-Regeln verwendet werden, um Erweiterungen zu referenzieren. Um Erweiterungen mit ESA zu synchronisieren, müssen alle Erweiterungsabhängigkeiten in EPL-Regeln mit der Anmerkung @UsesEnrichment referenziert werden.

Die Anmerkung @UsesEnrichment verwendet das folgende Format:

@UsesEnrichment(name= '<enrichment_name>')

Die folgende EPL referenziert z. B. eine Whitelist-Erweiterung:

@UsesEnrichment(name = 'Whitelist')

@RSAAlert

SELECT * FROM Event(ip_src NOT IN (SELECT ip_address FROM Whitelist))

@Name

@Name ist der Name der Anweisung, der in erweiterten ESA-Regeln definiert ist. Er wird verwendet, um Anweisungsnamen dynamisch in ESA-Warnmeldungen zu generieren. Der Anweisungsname von nur einer eine Warnmeldung auslösenden Anweisung wird angezeigt. Diese Anmerkung besitzt Metaschlüssel, die in geschweiften Klammern stehen.

Die Anmerkung @Name verwendet das folgende Format:

@Name("<static_part_of_statement_name> {meta_key1} {meta_key2}…")

Z. B. referenziert die folgende EPL die Metaschlüssel ip_src und user_name, deren Werte dynamisch erzeugt werden.

@Name(“Login Event to {ip_src} by {user_name}”)

Hinweis: Sie können eine beliebige Anzahl von Metaschlüsseln in der Anweisung für die dynamische Erstellung von Anweisungsnamen angeben.
Die Länge der einzelnen Metaschlüssel ist auf 64 beschränkt. Danach wird der Wert gekürzt und „...“ wird angehängt.
Die Länge bei der dynamischen Generierung des Anweisungsnamens ist auf 128 beschränkt. Danach wird der Wert auf 128 gekürzt und „...“ wird angehängt. Alle übrigen Werte nach der Kürzung werden als statische Werte behandelt.

You are here
Table of Contents > Hinzufügen von Regeln zur Regelbibliothek > Hinzufügen einer erweiterten EPL-Regel > ESA-Anmerkungen

Attachments

    Outcomes