ESM : Formulaire Créer des groupes de sources d'événements

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by Susan Ewald on Apr 23, 2018
Version 2Show Document
  • View in full screen mode
 

Le formulaire Créer des groupes de sources d'événements s'affiche lorsque vous créez ou modifiez un groupe de sources d'événements.

Paramètres 

Le tableau suivant décrit les champs du formulaire Modifier/créer un groupe d'événements.

                             
ChampDescription
Nom du groupe

Ce champ est obligatoire et s'affiche via l'interface utilisateur de NetWitness Suite en tant qu'identifiant du groupe.

Description

Description facultative permettant de décrire l'objectif ou les détails du groupe.

Outils

esm_grpRules.png

Les éléments suivants sont disponibles dans la barre d'outils :

  • Ajouter (+) : cliquer sur Ajouter affiche un menu dans lequel vous pouvez choisir d'ajouter une condition ou un groupe.
  • Supprimer (-) : supprime la règle ou le groupe de règles sélectionné de la liste.

Lorsque vous ajoutez un nouveau groupe, des niveaux imbriqués de conditions sont également créés.

Conditions

Décrites ci-dessous dans le tableau Critères de règle.

Annuler / Enregistrer

Les options Annuler et Enregistrer sont disponibles dans le formulaire.

Critères de règle

Les règles que vous spécifiez déterminent les sources d'événements qui feront partie de ce groupe de sources d'événements. Une règle se compose des éléments suivants :

  • Regroupement : comment la règle interagit avec les autres règles
  • Attribut : à quel attribut la règle correspond-t-elle
  • Opérateur : comment la règle correspond à l'attribut
  • Valeur : valeur d'attribut utilisée pour la règle

Le tableau suivant détaille ces constructeurs de règles.

                         
Constructeur de règleDétails
Groupe

Vous pouvez regrouper les conditions afin de créer des règles complexes pour un groupe de sources d'événements. Les choix suivants sont disponibles lors du regroupement de vos règles :

  • Tous : équivalent logique de AND
  • Aucun : équivalent logique de OR
  • Aucun d'entre eux : équivalent logique de NOT

Si vous créez une groupe simple et que vous spécifiez une seule condition, vous pouvez alors conserver la valeur par défaut (Tous) sélectionnée.

Attributs

Contient une liste déroulante composée de tous les attributs de sources d'événements. Les attributs s'affichent en fonction de la section à laquelle ils appartiennent. Par exemple, tous les attributs Identification s'affichent en premier, suivi de Propriétés, Importance, etc.

Opérateur

Choisissez parmi les options suivantes :

  • Est égal à : équivaut à la valeur fournie

  • Différent(e) de : renvoie des sources d'événement dont l'attribut spécifié n'est pas égal à la valeur fournie

  • Dans : fournit une liste de valeurs séparées par des virgules, et des sources d'événement qui correspondent à toutes les valeurs fournies sont incluses. Par exemple :

    Where IP in 10.25.50.146, 10.25.50.248

    Cette condition renvoie des sources d'événement qui possèdent 10.25.50.146 or 10.25.50.248 en tant qu'attribut IP.

  • Pas dans : semblable à In, mais il correspond aux éléments dont l'attribut n'est égal à aucune des valeurs répertoriées.

  • Semblable à : correspond aux éléments qui commencent par la chaîne fournie. Par exemple :

    Where Event Source Type Like Apache

    Cette condition renvoie des sources d'événements dont le Type de Source événements commence parApache.

  • Non semblable à : semblable à Like, mais il correspond aux éléments dont l'attribut ne commence pas par la chaîne fournie.

  • Supérieur(e) à : correspond aux éléments dont l'attribut est supérieur à la valeur fournie. Par exemple, si vous spécifiez Priorité supérieure à 5, la condition correspondrait à un élément avec une priorité de 6 ou supérieure.

  • Inférieur(e) à : semblable à Supérieur(e) à. Correspond aux éléments dont l'attribut est inférieur à la valeur fournie.

Valeur

Saisissez une valeur ou un groupe de valeurs. Le type de valeur dépend de l'attribut de la condition. Par exemple, pour IPv6, vous devez spécifier une valeur au format IPv6.

You are here
Table of Contents > Gérer des groupes de sources d'événement > ESM : Formulaire Créer des groupes de sources d'événements

Attachments

    Outcomes