Alertes : Boîte de dialogue Créer une instruction

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

La boîte de dialogue Créer une instruction vous permet de créer une instruction de condition lors de la création d'une règle Générateur de règles.

Que voulez-vous faire ?

                       
Rôle Je souhaite...Me montrer comment
Expert du contenu

Configurer une instruction de règle.

Ajouter une règle EPL avancée

Expert du contenu

Ajouter des conditions à la règle.

Étape 3. Ajouter des conditions à une instruction de règle

Rubriques connexes

Boîte de dialogue Créer une instruction

Pour accéder à la boîte de dialogue Créer une instruction :

  1. Accédez à CONFIGURER > Règles ESA.

    La vue Configurer des règles ESA s'affiche avec l'onglet Règles ouvert.

  2. Dans la barre d'outils Bibliothèque de règles, sélectionnez Ajouter une liste déroulante > Générateur de règles.

    Un onglet Nouvelle règle s'affiche.

  3. Dans la section Conditions, cliquez sur Icône Ajouter.

    La boîte de dialogue Créer une instruction s'affiche.

Boîte de dialogue Créer une instruction

Le tableau ci-dessous décrit les paramètres de la boîte de dialogue Créer une instruction.

                                                 
ParamètreDescription
NomObjet de l'instruction.
Sélectionner

Conditions requises par la règle. Deux options sont possibles :

  • Si toutes les conditions sont réunies
  • Si l'une de ces conditions est réunie
Clé Clé pour ESA à enregistrer dans l'instruction de la règle.
Type d'évaluation

Relation entre la clé méta et la valeur de la clé :

  • est
  • n'est pas
  • n'est pas nul
  • est supérieur à (>)
  • est supérieur ou égal à (>=)
  • est inférieur à (<)
  • est inférieur ou égal à (<=)
  • contient
  • ne contient pas
  • commence par
  • se termine par
ValeurValeur pour ESA à rechercher dans la clé.
Ignorer la casse ?

Ce champ est conçu pour être utilisé avec les valeurs de chaînes et tableau de chaînes. Si vous choisissez le champ Ignorer la casse, la requête traitera toute chaîne de texte comme étant une valeur minuscule.  Cela permet de garantir qu'une règle qui recherche un utilisateur nommé Johnson se déclenchera si un événement contient « johnson », « JOHNSON » ou « JoHnSoN ».

 Tableau ?

Choix pour indiquer si le contenu du champ Valeur représente une ou plusieurs valeurs :

  • Cochez cette case pour indiquer des valeurs multiples.
  • Décochez cette case pour indiquer une seule valeur.
Icône Ajouter Permet d'ajouter une instruction. Vous pouvez ajouter une condition méta, une condition de liste blanche ou une condition de liste noire. 
Icône Supprimer Permet de supprimer l'instruction sélectionnée.
EnregistrerPermet d'ajouter une instruction à la section Conditions de l'onglet Générateur de règles.

Le tableau ci‑dessous décrit les opérateurs que vous pouvez utiliser dans le Générateur de règles :

                                                                                                               
OpérateurValeur requiseUtilisationExemple Signification
estValeur de chaîne au singulier La clé méta équivaut au champ valeur. user_dst est John Doe. user_dst est égal à la chaîne « John Doe ».
estValeur de chaîne de tableau La clé méta est égale à l'un des éléments du champ valeur. user_dst est John, Doe, Smith.

user_dst  est égal à la chaîne « John » ou à la chaîne « Doe » ou à la chaîne « Smith » (remarque : les espaces sont supprimés).

n'est pasValeur de chaîne au singulier La clé méta n'est pas équivalente au champ valeur. size n'est pas 200. size n'est pas égale au chiffre 200 (la taille est une valeur numérique).
n'est pasValeur de chaîne de tableau La clé méta n'est égale à aucun élément du champ valeur. size n'est pas 200, 300, 400. size n'est pas égale à 200 ou à 300 ou à 400.
n'est pas nulN/A (recherche toute valeur) La valeur de la clé méta n'est pas nulle. La valeur user_dst n'est pas nulle.La valeur user_dst est une méta contenant une valeur. 
est supérieur à (>)Nombre La valeur numérique de la clé méta est supérieure au nombre du champ valeur. La valeur payload est supérieure à 7000.La valeur payload est une valeur numérique supérieure à 7000.
est supérieur ou égal à (>=)Nombre La valeur numérique de la clé méta est supérieure ou égale au nombre du champ valeur. La valeur payload est supérieure ou égale à 7000.La valeur payload est une valeur numérique supérieure ou égale à 7000.
est inférieur à (<)Nombre La valeur numérique de la clé méta est inférieure au nombre du champ valeur. ip_dstport est inférieur à 1024.
ip_dstport est une valeur numérique inférieure à 1024.
est inférieur ou égal à (<=)Nombre La valeur numérique de la clé méta est inférieure ou égale au nombre du champ valeur. ip_dstport est inférieur ou égal à 1024. ip_dstport est une valeur numérique inférieure ou égale à 1024.
contientChaîne

Le champ valeur est une sous-chaîne de la clé méta (cet opérateur n'est valable que pour une clé méta de la valeur d'une chaîne).

ec_outcome comprend failure. ec_outcome est une chaîne qui contient la sous-chaîne « failure ».
ne contient pasChaîne

Le champ valeur n'est pas une sous-chaîne de la clé méta (cet opérateur n'est valable que pour une clé méta de la valeur d'une chaîne).

ec_outcome ne comprend pas failure. ec_outcome est une chaîne ne contenant pas la sous-chaîne « failure ».
commence parChaîne

Le champ valeur est le début de la clé méta (cet opérateur n'est valable que pour une clé méta de la valeur d'une chaîne).

ip_dst commence par 127.0. ip_dst est une chaîne qui commence par « 127.0 ».
se termine parChaîne

Le champ valeur est la fin de la clé méta (cet opérateur n'est valable que pour une clé méta de la valeur d'une chaîne).

user_dst termine par son. user_dst est une chaîne qui termine par « son ».
Remarque : Les termes en gras et italique sont des méta qui peuvent ne pas exister dans tous les environnements clients.
You are here
Table of Contents > Références aux alertes ESA > Boîte de dialogue Créer une instruction

Attachments

    Outcomes