Configuration de Répondre : Onglet Nouvelle règle

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

L'onglet Nouvelles règles vous permet de créer des règles d'agrégation personnalisées pour automatiser le processus de création d'incident. Cette rubrique décrit les informations requises lors de la création d'une nouvelle règle.

Que voulez-vous faire ?

                       
RôleJe souhaite...Me montrer comment
Analyste, expert du contenu, responsable du SOCCréer une règle d'agrégation.Étape 3. Créer une règle d'agrégation pour les alertes
ID d'incident, analystes, experts du contenu, responsables du SOCAfficher les résultats de ma règle d'agrégation (vue Menaces détectées).Reportez-vous à la section « Réponse aux incidents » dans le NetWitness Respond Guide d'utilisation.

Rubriques connexes

Nouvelle règle

Pour accéder à la vue de l'onglet Nouvelle règle :

  1. Accédez à CONFIGURER > Règles de l'incident > onglet Règles d'agrégation.

  2. Cliquez sur Icône Ajouter.

    L'onglet Nouvelle règle s'affiche.

    Onglet Nouvelle règle

Le tableau suivant décrit les options disponibles lors de la création de règles d'agrégation personnalisées.

                                                        
ChampDescription
ActivéSélectionnez la règle pour l'activer.
Nom*Nom de la règle. Il s'agit d'un champ obligatoire. 
DescriptionUne description de la règle pour donner une idée des alertes qui sont agrégées.
Conditions de mise en correspondance*

Générateur de requête - Sélectionnez cette option si vous souhaitez créer une requête avec différentes conditions pouvant être regroupées. Vous pouvez également avoir des groupes imbriqués de conditions.

Conditions de mise en correspondance - Vous pouvez définir la valeur sur Tous, N'importe lequel ou Aucun d'entre eux. En fonction de votre sélection, les types de critères spécifiés dans les conditions et le groupe de conditions sont mis en correspondance pour regrouper les alertes.

Par exemple, si vous définissez la condition d'association sur Tous, les alertes qui correspondent aux critères mentionnés dans les Conditions et Conditions de groupe sont regroupées en un incident.

  • Ajouter une condition à mettre en correspondance en cliquant sur Icône Ajouter Ajouter une condition.
  • Ajouter un groupe de conditions en cliquant sur Icône Ajouter Ajouter un groupe et ajouter des conditions en cliquant sur Icône Ajouter Ajouter une condition.

Vous pouvez inclure plusieurs conditions et groupes de conditions qui peuvent être mis en correspondance selon les critères définis et regrouper les alertes entrantes en incidents.

Avancé - Sélectionnez cette option si vous souhaitez ajouter un générateur de requête avancé. Vous pouvez ajouter une condition spécifique qui peut être mise en correspondance selon l'option correspondante sélectionnée.

Par exemple : vous pouvez saisir le format de générateur de critères {"$and": [{"alert.severity" : {"$gt":4}}]} pour regrouper les alertes qui possèdent une gravité supérieure à 4.

Pour la syntaxe avancée, reportez-vous à http://docs.mongodb.org/manual/reference/operator/query/ ou http://docs.mongodb.org/manual/reference/method/db.collection.find/

Action

Regrouper dans un incident - Si cette option est activée, les alertes qui correspondent à l'ensemble de critères sont regroupées en une alerte.

Supprimer l'alerte - Si cette option est activée, les alertes qui correspondent aux critères sont supprimées.

Options de regroupement*

Grouper par : Critères de regroupement des alertes selon la catégorie spécifiée. Vous pouvez utiliser un maximum de deux attributs pour regrouper les alertes. Vous pouvez regrouper les alertes présentant un ou deux attributs. Vous ne pouvez plus regrouper les alertes avec des attributs qui n'ont pas de valeurs (attributs vides).
Le regroupement avec un attribut signifie que toutes les alertes correspondantes contenant la même valeur de cet attribut sont regroupées dans le même incident.

Période : Plage de temps spécifiée aux alertes de groupe.
Par exemple, si la période est définie sur 1 heure, toutes les alertes qui correspondent aux critères définis dans le champ Regrouper par et qui arrivent chaque heure sont regroupés dans un incident.

Options d'incident

Titre :(Facultatif) Titre de l'incident. Vous pouvez fournir des espaces réservés en fonction des attributs groupés. Les espaces réservés sont facultatifs. Si vous n'utilisez pas d'espaces réservés, tous les incidents créés par la règle auront le même titre.

Par exemple, si vous les regroupez en fonction de la source, vous pouvez nommer l'incident comme Alertes pour ${groupByValue1} et les incidents de toutes les alertes issues de NetWitness Endpoint sont nommées Alertes pour NetWitness Endpoint.

Récapitulatif - (Facultatif) Récapitulatif de l'incident.
Catégorie - (Facultatif) Catégorie de l'incident créé. Un incident peut être classé en utilisant plusieurs catégories.
Personne affectée - (Facultatif) Nom de la personne affectée à laquelle l'incident est attribué.
Priorité

Score moyen de risque pour toutes les alertes - Utilise la moyenne des notes de risque sur toutes les alertes pour définir la priorité de l'incident créé.

Score de risque le plus élevé pour toutes les alertes - Utilise la note supérieure disponible sur toutes les alertes pour définir la priorité de l'incident créé.

Nombre d'alertes dans la période - Utilise la somme du nombre d'alertes dans la période sélectionnée pour définir la priorité de l'incident créé.

critique, élevée, moyenne, faible - Spécifie la priorité des incidents mis en correspondance. Par défaut :

  • Critique : 90
  • Élevée : 50
  • Moyenne : 20
  • Faible : 1

Par exemple, avec la priorité Critique définie sur 90, les incidents associés à un score de risque supérieur ou égal à 90 recevront une priorité Critique pour cette règle.

Vous pouvez modifier ces paramètres par défaut en modifiant manuellement les priorités ou en déplaçant le curseur sous Déplacez le curseur pour ajuster l'échelle.

You are here
Table of Contents > Référence de configuration pour NetWitness respond > Onglet Nouvelle règle

Attachments

    Outcomes