Alerting: Cuadro de diálogo Crear una declaración

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

El cuadro de diálogo Crear una declaración permite construir una declaración de condición cuando se crea una nueva regla del generador de reglas.

¿Qué desea hacer?

                       
Función Deseo…Mostrarme cómo
Experto en contenido

Configurar una declaración de regla.

Agregar una regla de EPL avanzado

Experto en contenido

Agregar condiciones a la regla.

Paso 3. Agregar condiciones a una declaración de regla

Temas relacionados

Cuadro de diálogo Crear una declaración

Para acceder al cuadro de diálogo Crear una declaración:

  1. Vaya a CONFIGURAR > Reglas de ESA.

    La vista Configurar reglas de ESA se muestra con la pestaña Reglas abierta.

  2. En la barra de herramientas Biblioteca de reglas, seleccione Menú desplegable Agregar > Generador de reglas.

    Se muestra la pestaña Nueva regla.

  3. En la sección Condiciones, haga clic en Ícono Agregar.

    Se muestra el cuadro de diálogo Crear una declaración.

Cuadro de diálogo Crear una declaración

En la siguiente tabla se describen los parámetros del cuadro de diálogo Crear una declaración.

                                                 
ParámetroDescripción
NombrePropósito de la declaración.
Seleccionar

Condiciones que requiere la regla. Existen dos opciones:

  • Si se cumplen todas las condiciones
  • Si se cumple una de estas condiciones
Clave Clave que ESA debe comprobar en la declaración de la regla.
Tipo de evaluación

Relación entre la clave de metadatos y el valor de la clave:

  • es
  • no es
  • no es nulo
  • es mayor que (>)
  • es mayor o igual que (>=)
  • es menor que (<)
  • es menor o igual que (<=)
  • contiene
  • no contiene
  • comienza con
  • termina con
ValorValor que ESA debe buscar en la clave.
¿Omitir mayúsculas y minúsculas?

Este campo está diseñado para su uso con cadenas y matrices de valores de cadena. Cuando se selecciona el campo Omitir mayúsculas y minúsculas, la consulta trata todo el texto de la cadena como un valor en minúscula.  Esto garantiza la activación de una regla que busca el nombre de usuario Johnson si el evento contiene “johnson”, “JOHNSON” o “JoHnSoN”.

 ¿Arreglo?

Opción para indicar si el contenido del campo Valor representa uno o varios valores:

  • Seleccione la casilla paraindicar valores múltiples.
  • Deseleccione la casilla para indicar un valor.
Ícono Agregar Agregue una declaración. Puede agregar una condición de metadatos, de lista blanca o de lista negra. 
Ícono Eliminar Elimine la declaración seleccionada.
GuardarAgregue la declaración a la sección Condiciones de la pestaña Generador de reglas.

En la siguiente tabla se muestran los operadores que puede usar en el generador de reglas:

                                                                                                               
OperadorValor obligatorioUsoEjemploSignificado
esValor de cadena único La clave de metadatos es igual al campo value. user_dst es John Doe. user_dst es igual a la cadena “John Doe”.
esValor de cadena del arreglo La clave de metadatos es igual a uno de los elementos del campo value. user_dst es John, Doe, Smith.

user_dst es igual a la cadena “John”, a la cadena “Doe” o a la cadena “Smith” (Tenga en cuenta que se eliminan los espacios).

no esValor de cadena único La clave de metadatos no es igual al campo value. size no es 200. size no es igual al número 200 (el tamaño es un valor numérico).
no esValor de cadena del arreglo La clave de metadatos no es igual a ninguno de los elementos del campo value. size no es 200, 300 ni 400. size no es igual a 200, 300 ni 400.
no es nuloN/D (busca cualquier valor) El valor de clave de metadatos no es nulo. user_dst no es nulo. user_dst es un metadato que contiene un valor. 
es mayor que (>)Número El valor numérico de la clave de metadatos es mayor que el número en el campo value. payload es mayor que 7,000. payload es un valor numérico que es mayor que 7,000.
es mayor o igual que (>=)Número El valor numérico de la clave de metadatos es mayor o igual al número en el campo value. payload es mayor o igual que 7,000. payload es un valor numérico que es mayor o igual que 7,000.
es menor que (<)Número El valor numérico de la clave de metadatos es menor que el número en el campo value. ip_dstport es menor que 1,024.
ip_dstport es un valor numérico menor que el valor numérico 1,024.
es menor o igual que (<=)Número El valor numérico de la clave de metadatos es menor o igual que el número en el campo value. ip_dstport es menor o igual que 1,024. ip_dstport es un valor numérico menor o igual que el valor numérico 1,024.
contieneCadena

El campo value es una subcadena de la clave de metadatos (este operador solo está disponible para una clave de metadatos con valor de cadena).

ec_outcome contiene failure. ec_outcome es una cadena que contiene la subcadena “failure”.
no contieneCadena

El campo value no es una subcadena de la clave de metadatos (este operador solo está disponible para una clave de metadatos con valor de cadena).

ec_outcome no contiene failure. ec_outcome es una cadena que no contiene la subcadena “failure”.
comienza conCadena

El campo value es el comienzo de la clave de metadatos (este operador solo está disponible para una clave de metadatos con valor de cadena).

ip_dst comienza con 127.0. ip_dst es una cadena que comienza con “127.0”.
termina conCadena

El campo value es el final de la clave de metadatos (este operador solo está disponible para una clave de metadatos con valor de cadena).

user_dst termina en son. user_dst es una cadena que termina en“son”.
Nota: Los términos en negrita cursiva son metadatos que probablemente no existen en todos los ambientes de cliente.
You are here
Table of Contents > Referencias de alertas de ESA > Cuadro de diálogo Crear una declaración

Attachments

    Outcomes