Alertes : Onglet Nouvelle règle EPL avancée

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

L'onglet Règle EPL avancée vous permet de définir les critères de règle avec une requête EPL (Event Processing Language).

Que voulez-vous faire ?

                       
Rôle Je souhaite...Me montrer comment
Expert du contenu

Définir une règle EPL avancée.

Ajouter une règle EPL avancée

Expert du contenu

Obtenir des exemples d'une règle EPL avancée.

Exemple de règles EPL avancées

Rubriques connexes

Règle EPL avancée

Pour accéder à l'onglet Règle EPL avancée :

  1. Accédez à CONFIGURER > Règles ESA.

    La vue Configurer s'affiche avec l'onglet Règles ouvert par défaut.

  2. Dans la barre d'outils de la Bibliothèque de règles, sélectionnez Icône Ajouter une liste > EPL avancé.

    L'onglet Règle EPL avancée s'affiche.

La capture d'écran ci-dessous illustre l'onglet Règle EPL avancée.

Onglet Nouvelle règle EPL avancée

Le tableau suivant affiche les paramètres de l'onglet Règle EPL avancée.

                             
ParamètresDescription
Nom de la règleObjectif de la règle ESA.
Description Récapitulatif des éléments détectés par la règle ESA.
Règle d'évaluationMode de déploiement afin de déterminer si la règle s'exécute efficacement.
Gravité Niveau de menace de l'alerte déclenchée par la règle.
QueryRequête EPL qui définit les critères de règle.

Notifications

Dans la section Notifications, vous pouvez choisir le mode de notification lorsqu'ESA génère une alerte pour la règle.

Pour plus d'informations sur les notifications d'alertes, reportez-vous à la rubrique Ajouter une méthode de notification à une règle.

La figure ci-dessous présente la section Notifications.

Section Notifications

                                         
ParamètreDescription
Icône Ajouter Pour ajouter un type de notification d'alerte.
Icône Supprimer Pour supprimer le type de notification d'alerte sélectionné.
RésultatType de notification d'alerte. Les options possibles sont :
  • E-mail
  • SNMP
  • Syslog
  • Script
NotificationNom de la sortie précédemment configurée, comme la liste de diffusion d'e-mails.
Serveur de notificationNom du serveur qui envoie la sortie.
ModèleNom du modèle pour la notification d'alerte.
Limite des notifications auxOption permettant de spécifier la fréquence d'alerte.
MinutesFréquence d'alerte en minutes.

Enrichissements

Dans la section Enrichissements, vous pouvez ajouter une source d'enrichissement de données à une règle.

Pour plus d'informations sur les enrichissements, reportez-vous à la rubrique Ajouter un enrichissement à une règle.
La figure ci-dessous présente la section Enrichissements.
Section Enrichissements

                                   
ParamètreDescription

Icône Ajouter

Pour ajouter un enrichissement.

Icône Supprimer

Pour supprimer l'enrichissement sélectionné.

Résultat

Type de source d'enrichissement. Les options possibles sont :

  • Table en mémoire
  • Référence BD externe
  • Warehouse Analytics
  • GeoIP

Source d'enrichissement

Nom de la source d'enrichissement précédemment configurée, comme un nom de fichier .CSV pour une table en mémoire.

Méta de flux d'événements ESA

Clé méta ESA dont la valeur sera utilisée en tant qu'opérande de la condition join.

Nom de la colonne de la source d'enrichissement

Nom de la colonne de la source d'enrichissement dont la valeur sera utilisée en tant qu'autre opérande de la condition join.
You are here
Table of Contents > Références aux alertes ESA > Onglet Nouvelle règle EPL avancée

Attachments

    Outcomes