Warnmeldungen: Registerkarte Regelerstellung

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

Auf der Registerkarte „Regelerstellung“ können Sie eine Regelerstellungsregel definieren.

Was möchten Sie tun?

                            
Rolle ZielDetails anzeigen
Contentexperte

Regelerstellungsregel definieren

Hinzufügen einer Regelerstellungsregel

Contentexperte

Regelkriterien definieren

Schritt 2. Erstellen einer Regelanweisung

Contentexperte

Bedingungen zu einer Regel hinzufügen

Schritt 3. Hinzufügen von Bedingungen zu einer Regelanweisung

Verwandte Themen

Regelerstellung

So greifen Sie auf die Registerkarte Regelerstellung zu:

  1. Navigieren Sie zu Konfigurieren > ESA-Regeln.

    Die Registerkarte „Regeln“ wird standardmäßig geöffnet.

  2. Wählen Sie in der Symbolleiste Regelbibliothek die Optionen „Liste hinzufügen“-Symbol > Regelerstellung aus.

    Die Registerkarte „Regelerstellung“ wird angezeigt.

Die folgende Abbildung zeigt die Registerkarte „Regelerstellung“.

Registerkarte „Regelerstellung“

In der folgenden Tabelle sind die Parameter auf der Registerkarte „Regelerstellung“ beschrieben.

                            
ParameterBeschreibung
Name der RegelZweck der ESA-Regel
Beschreibung Zusammenfassung dessen, was die ESA-Regel erkennt
TestregelBereitstellungsmodus zur Bestimmung, ob die Regel effizient ausgeführt wird
Schweregrad Bedrohungsstufe der von der Regel ausgelösten Warnmeldung

Die „Regelerstellung“ umfasst die folgenden Komponenten:

  • Abschnitt Bedingungen
  • Abschnitt Meldungen
  • Abschnitt Erweiterungen

Abschnitt Bedingungen

Im Abschnitt „Bedingungen“ der Registerkarte „Regelerstellung“ definieren Sie, was die Regel erkennt.

Die folgende Abbildung zeigt den Abschnitt „Bedingungen“.

Abschnitt „Bedingungen“ auf der Registerkarte „Regelerstellung“

 

In der folgenden Tabelle sind die Parameter im Abschnitt „Bedingungen“ aufgelistet.

                                                         
ParameterBeschreibung
Hinzufügen-Symbol Fügt eine Anweisung hinzu
Löschsymbol Ausgewählte Anweisung löschen.
Symbol „Bearbeiten“ Ausgewählte Anweisung bearbeiten.
AnweisungLogische Gruppe von Bedingungen für eine Operation.
Tritt aufWarnmeldungshäufigkeit bei erfüllter Bedingung. Dies gibt an, dass eine bestimmte Mindestanzahl von Ereignissen vorhanden sein muss, damit die Kriterien zum Auslösen einer Warnmeldung erfüllt sind. Das Minutenzeitfenster bindet den Tritt auf-Zähler.
ConnectorOptionen zur Spezifizierung der Beziehung zwischen Anweisungen:
  • gefolgt von
  • nicht gefolgt von
  • UND
  • ODER
Der Connector verbindet zwei Anweisungen mit „UND“, „ODER“, „gefolgt von“ oder „nicht gefolgt von“. Wenn gefolgt von verwendet wird, wird angegeben, dass es eine Sequenz dieser Ereignisse gibt. UND und ODER erstellen ein großes Kriterium. Die Option „gefolgt von“ erstellt verschiedene Kriterien, die in einer bestimmten Reihenfolge auftreten.
KorrelationstypDer Parameter Korrelationstyp gilt nur für gefolgt von und nicht gefolgt von. Wenn Sie den Korrelationstyp „GLEICH“ auswählen, wählen Sie einen Metawert für die Korrelation, und wenn Sie den Korrelationstyp „VERKNÜPFEN“ auswählen, wählen Sie zwei Metawerte für die Korrelation. Sie möchten möglicherweise „VERKNÜPFEN“ verwenden, wenn Sie versuchen, Metawerte aus zwei verschiedenen Datenquellen zu korrelieren. Angenommen, Sie möchten eine AV-Warnmeldung mit einer IDS-Warnmeldung korrelieren.
MetaDie Metabedingung muss angegeben werden, wenn Sie den Korrelationstyp „GLEICH“ oder „VERKNÜPFEN“ auswählen (siehe oben).

Meta

Die zweite Metabedingung muss angegeben werden, wenn Sie den Korrelationstyp „VERKNÜPFEN“ ausgewählt haben (siehe oben). Beispiel: Die Ziel-IP-Adresse aus der AV-Warnmeldung und die Quell-IP-Adresse der Workstation aus der IDS-Warnmeldung werden verknüpft, damit Sie dieselben Einheiten quellübergreifend anzeigen können.

tritt innerhalb von Minuten aufZeitfenster, innerhalb dessen die Bedingungen auftreten müssen. 
Ereignissequenz

Wählen Sie aus, ob das Muster einer strengen oder einer variablen Übereinstimmung folgen muss. Wenn Sie eine strenge Übereinstimmung angeben, bedeutet dies, dass das Muster in der genauen Reihenfolge vorkommen muss, die Sie angegeben haben, ohne dass weitere Ereignisse dazwischen vorkommen. Beispiel: Wenn als Sequenz fünf fehlgeschlagene Anmeldungen (F) gefolgt von einer erfolgreichen Anmeldung (S) angegeben ist, wird dieses Muster nur übereinstimmen, wenn der Benutzer die folgende Sequenz ausführt: F, F, F, F, F, S. Wenn Sie eine variable Übereinstimmung angeben, bedeutet dies, dass andere Ereignisse innerhalb der Sequenz auftreten dürfen, aber die Regel wird weiterhin auslösen, wenn alle angegebenen Ereignisse auch auftreten. Beispiel: Fünf fehlgeschlagene Anmeldeversuche (F), gefolgt von einer beliebigen Anzahl dazwischen liegender erfolgreicher Anmeldeversuche (S), gefolgt von einem erfolgreichen Anmeldeversuch, könnten das folgende Muster erzeugen: F, S, F, S, F, S, F, S, F, S, die die Regel trotz der dazwischenliegenden erfolgreichen Anmeldungen auslösen würden. 

Gruppieren nach

Wählen Sie den Metaschlüssel aus, nach dem die Ergebnisse aus der Drop-down-Liste gruppiert werden sollen. Nehmen Sie zum Beispiel an, es gibt die drei Benutzer Joe, Jane und John und Sie verwenden das Metadatum „Gruppieren nach“, user_dst („user_dst“ ist das Metadatenfeld für das Benutzerzielkonto). Das Ergebnis zeigt Ereignisse gruppiert nach den Benutzerzielkonten, Joe, Jane und John, an.

Sie können auch nach mehreren Schlüsseln gruppieren. Beispielsweise möchten Sie eventuell nach Benutzern und Computern gruppieren, um zu sehen, ob ein Benutzer, der an demselben Computer angemeldet ist, mehrmals versucht, sich an einem Konto anzumelden.  Um dies zu erreichen, können Sie nach „device_class“ und „user_dst“ gruppieren.

Benachrichtigungen

Im Abschnitt „Benachrichtigungen“ können Sie auswählen, wie Sie benachrichtigt werden, wenn ESA eine Warnmeldung für die Regel erzeugt.

Weitere Informationen zu Warnmeldungsbenachrichtigungen erhalten Sie unter Hinzufügen einer Benachrichtigungsmethode zu einer Regel.

Die folgende Abbildung zeigt den Abschnitt „Benachrichtigungen“.
Abschnitt „Benachrichtigungen“ auf der Registerkarte „Regelerstellung“

                                            
ParameterBeschreibung
„Liste hinzufügen“-Symbol So fügen Sie einen Warnmeldungsbenachrichtigungstyp hinzu.
Löschsymbol So löschen Sie die ausgewählte Warnbenachrichtigung.
AusgabeTyp der Warnmeldungsbenachrichtigung Optionen:
  • E-Mail
  • SNMP
  • Syslog
  • Skript
BenachrichtigungName der zuvor konfigurierten Ausgabe, beispielsweise ein E-Mail-Verteiler
BenachrichtigungsserverName des die Ausgabe sendenden Servers
VorlageName der Vorlage für die Warnmeldungsbenachrichtigung
Ausgabeunterdrückung alle    Option zur Spezifizierung der Warnmeldungshäufigkeit
MinutenWarnmeldungshäufigkeit in Minuten

Erweiterung

Im Abschnitt Erweiterung können Sie einer Regel eine Datenerweiterungsquelle hinzufügen.

Weitere Informationen zu Erweiterungen erhalten Sie unter Hinzufügen einer Erweiterung zu einer Regel.

In der folgenden Abbildung wird der Abschnitt Erweiterungen dargestellt.

Abschnitt „Erweiterungen“

                                 
ParameterBeschreibung
„Liste hinzufügen“-Symbol So fügen Sie eine Erweiterung hinzu.
Löschsymbol So löschen Sie eine ausgewählte Erweiterung.
AusgabeErweiterungsquellentyp Optionen:
  • In-Memory-Tabelle
  • Externer DB-Verweis
  • Warehouse Analytics
  • GeoIP
ErweiterungsquelleName der zuvor konfigurierten Erweiterungsquelle, z. B. ein .CSV-Dateiname einer In-Memory-Tabelle
ESA Ereignis-Stream-MetadatenESA-Metaschlüssel, der als ein Operand der Verknüpfungsbedingung verwendet wird
Spaltenname „Erweiterungsquelle“ Erweiterungsquellen-Spaltenname, dessen Wert als ein weiterer Operand der Verknüpfungsbedingung verwendet wird

Für eine In-Memory-Tabelle gilt, wenn Sie beim Erstellen einer CSV-basierten Erweiterung einen Schlüssel konfiguriert haben, wird diese Spalte mit dem ausgewählten Schlüssel automatisch ausgefüllt. Allerdings können Sie es nach Wunsch ändern. 

Für eine GeoIP-Erweiterungsquelle wird ipv4 automatisch ausgewählt. 
You are here
Table of Contents > ESA-Warnmeldungsreferenzen > Registerkarte „Regelerstellung“

Attachments

    Outcomes