Alertes : Configurer la table en mémoire en tant que source d'enrichissement

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

Cette rubrique fournit des instructions sur la configuration d'une table en mémoire. Lorsque vous configurez une table en mémoire, vous téléchargez un fichier .csv en tant qu'entrée de la table. Vous pouvez associer cette table à une règle en tant que source d'enrichissement. Lorsque la règle associée génère une alerte, ESA va enrichir l'alerte avec les informations pertinentes issues de la table en mémoire.

Par exemple, une règle peut être configurée pour détecter lorsqu'un utilisateur tente de télécharger un logiciel gratuit et d'identifier la personne par un ID d'utilisateur dans l'alerte. L'alerte pourrait être enrichie avec des informations supplémentaires provenant d'une table en mémoire qui contient des détails tels que le nom complet, le titre, l'emplacement du bureau et le nombre d'employés.

Une table en mémoire est idéale pour le traitement des données simples. Elle est facile à configurer et nécessite moins de maintenance qu'une base de données. Par exemple, la Société AllTech est une petite organisation, donc l'administrateur système peut gérer les informations des employés dans un fichier .csv. Si la société AllTech se développe en une très grande entreprise, l'administrateur devra configurer une référence de base de données externe en tant qu'enrichissement et associer la base de données à une règle.

Conditions préalables

Le nom de la colonne du fichier .CSV ne peut pas contenir d'espaces.

Par exemple, Last_Name est correct et Last Name est incorrect.

Le fichier .CSV doit commencer par une ligne d’en-tête qui définit les champs et les types.
Par exemple, address string définit le champ d’en-tête en tant qu’address et le type en tant que string.

L’exemple suivant montre un fichier .CSV valide représenté en tant que .CSV et en tant que table.

Fichier .CSV valide

Procédures

Configurer une table en mémoire Adhoc

  1. Accédez à CONFIGURER > Règles ESA.
    La vue Configurer s'affiche avec l'onglet Règles ESA ouvert.
  2. Cliquez sur l'onglet Paramètres.
  3. Dans le panneau d'options, sélectionnez Sources d'enrichissement.
    Sources d'enrichissement
  4. Dans la section Sources d'enrichissement, cliquez sur Icône Ajouter une liste Table en mémoire
    Table Adhoc en mémoire.
  5. Décrire la table en mémoire :
    1. Sélectionnez Adhoc.
    2. Par défaut, Activer est sélectionné. Lorsque vous ajoutez la table en mémoire à une règle, les alertes sont enrichies avec des données.
      Si vous ajoutez la table en mémoire à une règle, mais ne souhaitez pas que les alertes soient enrichies, décochez la case.
    3. Dans le champ Nom de la table définie par l'utilisateur, saisissez un nom, par exemple Informations sur les stagiaires, pour la configuration de la table en mémoire.
    4. Si vous souhaitez expliquer ce que l'enrichissement apporte à une alerte, saisissez une Description telle que :
      Lorsqu'une alerte est groupée par numéro d'inscription, cet enrichissement ajoute des informations sur les stagiaires, par exemple leur nom et leurs notes. 
  6. Dans le champ Importer les données, sélectionnez le fichier .CSV qui fournira les données à la table en mémoire.
  7. Si vous souhaitez écrire une requête EPL pour définir une configuration de table en mémoire, sélectionnez le Mode Expert.
    Le champ Colonnes du tableau est remplacé par un champ Requête.
  8. Dans la section Colonnes du tableau, cliquez sur Icône Ajouter pour ajouter des colonnes à la table en mémoire. 
  9. Si un fichier valide est sélectionné dans le champ Importer les données, les colonnes sont renseignées automatiquement.

Remarque : Si vous avez sélectionné le mode Expert, un champ Requête s'affichera à la place de Colonnes du tableau.

  1. Dans le menu déroulant Clé, sélectionnez le champ à utiliser comme clé par défaut pour relier les événements entrants à la table en mémoire lors de l'utilisation d'une table en mémoire de type CSV comme enrichissement. Par défaut, la première colonne est sélectionnée.  Vous pouvez également modifier ultérieurement la clé lorsque vous ouvrez la table en mémoire dans les sources d'enrichissement.
  2. Dans le menu déroulant Nbre max. lignes, sélectionnez le nombre maximum de lignes qui peut figurer dans la table en mémoire à une instance particulière.
  3. Sélectionnez Persistant pour conserver la table en mémoire sur disque lorsque le service ESA s'arrête et pour remplir à nouveau la table lorsque le service redémarre.
  4. Dans le champ Format de fichier stocké, effectuez l’une des actions suivantes :
    • Sélectionnez Objet si vous souhaitez stocker le fichier dans un format binaire.
    • Sélectionnez JSON si vous souhaitez stocker le fichier dans un format texte.
      Par défaut, Objet est sélectionné.
  5. Cliquez sur Enregistrer
    . La table en mémoire adhoc est configurée. Vous pouvez l'ajouter à la règle comme enrichissement ou comme partie de la condition de règle. Reportez-vous à la section Ajouter un enrichissement à une règle.

Lorsque vous ajoutez une table en mémoire, vous pouvez l'ajouter à une règle comme enrichissement ou comme partie de la condition de règle. Par exemple, la règle suivante utilise une table en mémoire comme partie de la condition de règle pour créer une liste blanche. Elle utilise aussi une table de détails en mémoire dans le fichier user_dst pour enrichir l'alerte qui s'affiche. 

La règle présente la table en mémoire sous la forme d'une condition de règle de liste blanche :

In-rule enrichment

Ensuite, l'alerte est enrichie avec la table en mémoire User_list :

Post-alert Enrichment

La table en mémoire user_dst sert à créer une liste blanche et est aussi utilisée pour enrichir les données dans l'alerte si l'alerte se déclenche. 

Ajouter une table en mémoire récurrente

  1. Accédez à CONFIGURER > Règles ESA.
    La vue Configurer s'affiche avec l'onglet Règles ESA ouvert.
  2. Cliquez sur l'onglet Paramètres.
  3. Dans le panneau d'options, sélectionnez Sources d'enrichissement.
  4. Cliquez sur Icône Ajouter une liste  > Table en mémoire.
  5. Décrire la table en mémoire :
    1. Cliquez sur Récurrent.
    2. Par défaut, Activer est sélectionné. Lorsque vous ajoutez la table en mémoire à une règle, les alertes sont enrichies avec des données.
      Si vous ajoutez la table en mémoire à une règle, mais ne souhaitez pas que les alertes soient enrichies, décochez la case.
    3. Dans le champ Nom de la table définie par l'utilisateur, saisissez un nom, par exemple Informations sur les stagiaires, pour la configuration de la table en mémoire.
    4. Si vous souhaitez expliquer ce que l'enrichissement apporte à une alerte, saisissez une Description telle que :
      Lorsqu'une alerte est groupée par numéro d'inscription, cet enrichissement ajoute des informations sur les stagiaires, par exemple leur nom et leurs notes.
  6. Saisissez l'URL du fichier CSV qui alimentera la table en mémoire avec des données. Cliquez sur Vérifier pour valider le lien et renseigner les colonnes du fichier .CSV.  Vous pouvez ajouter ou supprimer des colonnes à l'aide du bouton plus ou moins. 
  7. Si le serveur est configuré derrière un autre serveur, sélectionnez Utiliser le proxy.
  8. Si le serveur requiert des informations d'identification pour la connexion, sélectionnez Authentifié
  9. Pour Répéter chaque, indiquez à quelle fréquence ESA doit rechercher la dernière version du fichier .CSV :
    1. Sélectionnez Minute(s), Heure(s), Jour(s) ou Semaine.
    2. Si vous sélectionnez Semaine, sélectionnez le jour de la semaine. 
    3. Cliquez sur Période pour sélectionner une date de début et une date de fin pour le planning récurrent.
      Période
  10. Dans le menu déroulant Clé, sélectionnez le champ à utiliser comme clé par défaut pour relier les événements entrants à la table en mémoire lors de l'utilisation d'une table en mémoire de type CSV comme enrichissement. Par défaut, la première colonne est sélectionnée.  Vous pouvez également modifier ultérieurement la clé lorsque vous ouvrez la table en mémoire dans les sources d'enrichissement.
  11. Dans le menu déroulant Nbre max. lignes, sélectionnez le nombre de lignes qui peut figurer dans la table en mémoire à une instance particulière.
  12. Sélectionnez Persistant pour conserver la table en mémoire sur disque lorsque le service ESA s'arrête et pour remplir à nouveau la table lorsque le service redémarre.
  13. Dans le champ Format de fichier stocké, effectuez l’une des actions suivantes :
    • Sélectionnez Objet si vous souhaitez stocker le fichier dans un format binaire.
    • Sélectionnez JSON si vous souhaitez stocker le fichier dans un format texte.
      Par défaut, Objet est sélectionné.
  14. Cliquez sur Enregistrer.
    La table en mémoire récurrente est configurée. Vous pouvez l'ajouter à la règle comme enrichissement ou comme partie de la condition de règle. Reportez-vous à la section Ajouter un enrichissement à une règle.

Configuration d’une requête Esper en tant que source d’enrichissement

Lorsque vous utilisez le « mode expert », vous pouvez créer une source d’enrichissement ou une fenêtre nommée d’après une requête Esper. Cela vous permet de mieux contrôler le contenu et de créer un contenu plus dynamique. Lorsque vous effectuez cette opération, une requête EPL crée la fenêtre nommée pour capturer l’état intéressant du flux d’événements.

Workflow

Le schéma suivant décrit le workflow de création d’une requête à l’aide d’une fenêtre nommée :

  1. L’événement est envoyé au moteur Esper.
  2. Une requête EPL est générée.
  3. Une alerte est déclenchée.
  4. La requête vérifie s’il existe une connexion entre l’événement et la fenêtre nommée.
  5. S’il existe une connexion, la requête qui remplit la fenêtre nommée est exécutée et renseignée.
  6. Le contenu issu de la fenêtre nommée est ajouté au contenu d’alerte, puis envoyé ou affiché (en fonction de vos paramètres).

Workflow de requête Esper

Conditions préalables

  • Les métas utilisées dans l’instruction EPL doivent exister dans les données.
  • Vous devez créer des instructions EPL correctes.

Procédure

Configurer une table en mémoire à l’aide d’une requête EPL

  1. Accédez à CONFIGURER > Règles ESA.
    La vue Configurer s'affiche avec l'onglet Règles ouvert.
  2. Cliquez sur l'onglet Paramètres.
  3. Dans le panneau d'options, sélectionnez Sources d'enrichissement.
  4. Dans la section Sources d'enrichissement, cliquez sur Icône Ajouter une liste Table en mémoire
    Table en mémoire - Enrichir la requête avancée.
  5. Sélectionnez Adhoc.
    Par défaut, Activer est sélectionné. Lorsque vous ajoutez la table en mémoire à une règle, les alertes sont enrichies avec des données.
  6. Dans le champ Nom de la table définie par l’utilisateur, entrez un nom descriptif pour décrire la table en mémoire.
  7. Si vous souhaitez expliquer ce que l’enrichissement ajoute à une alerte, saisissez ces informations dans le champ Description.
    Cette description s’affiche lorsque vous affichez la liste des enrichissements à partir de la vue Sources d’enrichissement. Il est donc conseillé de saisir une description complète. Cela permet aux autres utilisateurs de comprendre le contenu de l’enrichissement sans avoir à l’ouvrir pour vérifier son contenu.
  8. Sélectionnez le Mode Expert pour définir une configuration de table en mémoire avancée en écrivant une requête EPL.
    Le champ Colonnes du tableau est remplacé par un champ Requête.
  9. Sélectionnez Persistant pour conserver la table en mémoire sur disque lorsque le service ESA s'arrête et pour remplir à nouveau la table lorsque le service redémarre.
  10. Saisissez la requête EPL dans le champ Requête. La requête doit être correcte, et il est judicieux de la tester avant de la saisir dans le champ.
  11. Cliquez sur Enregistrer.

Exemple

Par exemple, vous avez créé une règle consistant à rechercher cinq connexions ayant échoué, suivies d'une connexion réussie. Lorsque cette règle est déclenchée, la notification doit contenir de préférence des informations sur le dernier utilisateur connecté au système lorsque cette connexion a abouti. Pour ajouter cet enrichissement à la notification, vous pouvez choisir de créer une table de recherche en mémoire basée sur les flux de données, renseignée à partir d’événements entrants afin de maintenir un mappage d’adresses IP vers le dernier utilisateur connecté depuis cette adresse. Pour ce faire, créez un enrichissement à l’aide d’une requête en tant que source.

Étape 1 : Créer votre règle

Tout d’abord, vous devez créer votre règle de corrélation. Dans ce cas, vous créez des conditions de règle d’échec et de réussite et les regroupez selon la valeur ip_src.

                               
Condition de la règleDescription
DéfaillancesCette condition recherche cinq connexions qui ont échoué et qui ont un connecteur « Suivi de », qui signifie que la condition (Défaillances) doit être suivie par la condition suivante (success).
SuccessCette condition recherche une connexion réussie. 
GroupBy: ip_src, device classLe champ GroupBy garantit que toutes les conditions précédentes sont groupées selon la classe d’appareil ip_srcand. C'est important pour la construction de la règle, car celle-ci tente de trouver un cas où un utilisateur a tenté de se connecter au même compte de destination à plusieurs reprises, et a fini par se connecter. Le regroupement par classe d’appareil garantit également que l'utilisateur connecté depuis la même machine tente bien de se connecter à un compte à plusieurs reprises. La règle peut produire des résultats inattendus si vous ne regroupez pas les résultats.
Se produit dans les 5 minutesLa période d'apparition des événements est égale à cinq minutes. Si les événements se produisent hors de cette période, la règle ne se déclenche pas. 
Séquence d'événements StrictLa séquence d'événements est configurée pour une correspondance stricte des schémas. Cela signifie que le schéma doit correspondre exactement car il a été spécifié sans événement imprévu. 

Pour les conditions de règle, vous créez les instructions suivantes :

  • L’instruction « Failures » recherche les tentatives de connexion ayant échoué :
    Instruction Failures
  • L’instruction « Success » recherche une connexion réussie :
    Instruction Success
  • Lorsque ces éléments sont associés, vous disposez de la règle de corrélation suivante :
    Échec de la connexion suivi d’une réussite

Étape 2 : Créer l’enrichissement

Maintenant que vous avez créé votre règle, vous devez créer l’enrichissement à ajouter à la sortie de notification. Suivez les étapes ci-dessus pour créer l’enrichissement, nommez-le Last_Logon et ajoutez la requête suivante :

create window LastLogon.std:unique(ip_src) as (ip_src string, user_dst string);

insert into LastLogon select ip_src, user_dst from CoreEvent

where ec_activity='Logon' and ec_outcome='Success';

L’enrichissement doit se présenter comme suit :

Boîte de dialogue Table en mémoire affichant la requête avancée

 

Étape 3 : Ajouter l’enrichissement à la règle

Maintenant que vous avez créé votre règle de base et votre enrichissement, vous devez ajouter l’enrichissement à la règle et joindre (ou connecter) l’enrichissement à la méta dans la règle.

Ouvrez la règle Login_Failure_Followed_by_Success pour la modifier.

Enrichissement ajouté à la règle

                                 
ChampSaisieDescription
Sortie

Table en mémoire

L’option Table en mémoire crée une fenêtre nommée, qui peut être renseignée avec les données de requête EPL.
Source d'enrichissementLast_Logon (enrichissement que vous avez créé ci-dessus).Il s’agit de la table de recherche en mémoire basée sur les flux de données, renseignée à partir d’événements entrants afin de maintenir un mappage d’adresses IP vers le dernier utilisateur connecté depuis cette adresse.

Méta de flux d'événements ESA

ip_src

Il s’agit d’une méta de flux d’événements que vous pouvez joindre aux données d’enrichissement que vous renseignez. ip_src est en fait la condition join.

Nom de la colonne de la source d'enrichissementip_srcIl s’agit de la méta de l’enrichissement que vous pouvez joindre aux données de flux d’événements. Elle doit être identique à la condition join dans le champ Méta de flux d’événements.

Une fois que vous avez ajouté l’enrichissement, vous pouvez enregistrer la règle.

Lorsque la règle est déclenchée, le service ESA exécute la requête dans l’enrichissement et renseigne les données dans la fenêtre nommée. Si les données présentes dans la fenêtre nommée correspondent à la condition join, celles-ci sont ajoutées à la sortie que vous pouvez voir dans E-mail, SNMP, Syslog ou Script, selon la configuration de vos notifications.

You are here
Table of Contents > Ajouter une source d'enrichissement de données > Sources d'enrichissement > Configurer la table en mémoire en tant que source d'enrichissement

Attachments

    Outcomes