Alertas: Configurar una tabla en la memoria como origen de enriquecimiento

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se proporcionan instrucciones para configurar una tabla en la memoria. Cuando se configura una tabla en la memoria, se carga un archivo .CSV como entrada para la tabla. Puede asociar esta tabla con una regla como un origen de enriquecimiento. Cuando la regla asociada genere una alerta, ESA enriquecerá la alerta con información pertinente de la tabla en la memoria.

Por ejemplo, se podría configurar una regla para detectar cuando un usuario intenta descargar freeware e identificar a la persona por ID de usuario en la alerta. La alerta se podría enriquecer con información adicional de una tabla en la memoria que contiene detalles como nombre completo, cargo, ubicación de la oficina y número de empleado.

Una tabla en la memoria es ideal para manejar datos ligeros. Es fácil de configurar y requiere menos mantenimiento que una base de datos. Por ejemplo, AllTech Company es una organización pequeña y, por lo tanto, el administrador del sistema puede mantener la información de los empleados en un archivo .CSV. Si AllTech crece y se transforma en una empresa muy grande, el administrador tendría que configurar una referencia de base de datos externa como un enriquecimiento y asociar la base de datos a una regla.

Requisitos previos

El nombre de columna en el archivo .CSV no puede tener espacios en blanco.

Por ejemplo Last_Name está correcto y Last Name está incorrecto.

El archivo .CSV debe comenzar con una línea de encabezado que define los campos y los tipos.
Por ejemplo, address string definiría el campo de encabezado como address y el tipo como string.

A continuación se muestra un archivo .CSV válido representado como archivo .CSV y como tabla.

Archivo .CSV válido

Procedimientos

Configurar una tabla en la memoria ad hoc

  1. Vaya a CONFIGURAR > Reglas de ESA.
    La vista Configurar se muestra con la pestaña Reglas de ESA abierta.
  2. Haga clic en la pestaña Ajustes de configuración.
  3. En el panel de opciones, seleccione Orígenes de enriquecimiento.
    Orígenes de enriquecimiento
  4. En la sección Orígenes de enriquecimiento, haga clic en Ícono Agregar lista  > Tabla en la memoria.
    Tabla en la memoria de ad hoc
  5. Describa la tabla en la memoria:
    1. Seleccione Ad hoc.
    2. De manera predeterminada, la opción Activar está seleccionada. Cuando se agrega la tabla en la memoria a una regla, las alertas se enriquecen con datos de ella.
      Si agrega una tabla en la memoria a una regla, pero no desea que las alertas se enriquezcan, deseleccione la casilla de verificación.
    3. En el campo Nombre de tabla definido por el usuario, escriba un nombre para la configuración de la tabla en la memoria, como Información de estudiante.
    4. Si desea explicar lo que agrega el enriquecimiento a una alerta, escriba una Descripción como la siguiente:
      Cuando una alerta se agrupa por Rollno, este enriquecimiento agrega información del estudiante, como el nombre y las calificaciones. 
  6. En el campo Importar datos, seleccione el archivo .CSV que alimentará datos a la tabla en la memoria.
  7. Si desea escribir una consulta de EPL para definir una configuración avanzada de la tabla en la memoria, seleccione Modo experto.
    Columnas de la tabla se reemplaza por un campo Consulta.
  8. En la sección Columnas de la tabla, haga clic en Ícono Agregar para agregar columnas a la tabla en la memoria. 
  9. Si se selecciona un archivo válido en el campo Importar datos, las columnas se completan automáticamente.

Nota: si seleccionó Modo experto, se muestra un campo Consulta en lugar de Columnas de la tabla.

  1. En el menú desplegable Clave, seleccione el campo que se usará como la clave predeterminada para unir eventos entrantes con la tabla en la memoria cuando se usa una tabla en la memoria basada en CSV como un enriquecimiento. De forma predeterminada, se selecciona la primera columna. También puede modificar posteriormente la clave cuando abra la tabla en la memoria en los orígenes de enriquecimiento.
  2. En el menú desplegable Máx. de filas, seleccione la cantidad máxima de filas que pueden residir en la tabla en la memoria en una instancia específica.
  3. Seleccione Persistir para conservar la tabla en la memoria en disco cuando el servicio de ESA se detenga y para volver a completar la tabla cuando se reinicie.
  4. En el campo Formato de archivo almacenado, realice una de las siguientes acciones:
    • Seleccione Objeto si desea almacenar el archivo en un formato binario.
    • Seleccione JSON si desea almacenar el archivo en un formato de texto.
      De manera predeterminada, la opción Objeto está seleccionada.
  5. Haga clic en Guardar.
    La tabla en la memoria ad hoc se configura. Puede agregarlo a la regla como un enriquecimiento o como parte de la condición de regla. Consulte Agregar un enriquecimiento a una regla.

Cuando agrega una tabla en la memoria, puede agregarla a una regla como un enriquecimiento o como parte de la condición de regla. Por ejemplo, la regla siguiente utiliza una tabla en la memoria como parte de la condición de regla para crear una lista blanca y también utiliza una tabla en la memoria de detalles en el archivo user_dst para enriquecer la alerta que se muestra. 

La regla muestra la tabla en la memoria como una condición de regla de lista blanca:

Enriquecimiento en la regla

A continuación, la alerta se enriquece con la tabla en la memoria User_list:

Enriquecimiento posterior a la alerta

Por lo tanto, la tabla en la memoria user_dst se usa para crear una lista blanca y también para enriquecer los datos en la alerta si esta se activa. 

Agregar una tabla en la memoria recurrente

  1. Vaya a CONFIGURAR > Reglas de ESA.
    La vista Configurar se muestra con la pestaña Reglas de ESA abierta.
  2. Haga clic en la pestaña Ajustes de configuración.
  3. En el panel de opciones, seleccione Orígenes de enriquecimiento.
  4. Haga clic en Ícono Agregar lista  > Tabla en la memoria.
  5. Describa la tabla en la memoria:
    1. Haga clic en Periódica.
    2. De manera predeterminada, la opción Activar está seleccionada. Cuando se agrega la tabla en la memoria a una regla, las alertas se enriquecen con datos de ella.
      Si agrega una tabla en la memoria a una regla, pero no desea que las alertas se enriquezcan, deseleccione la casilla de verificación.
    3. En el campo Nombre de tabla definido por el usuario, escriba un nombre para la configuración de la tabla en la memoria, como Información de estudiante.
    4. Si desea explicar lo que agrega el enriquecimiento a una alerta, escriba una Descripción como la siguiente:
      Cuando una alerta se agrupa por Rollno, este enriquecimiento agrega información del estudiante, como el nombre y las calificaciones.
  6. Escriba la URL del archivo .CSV que alimentará datos en la tabla en la memoria. Haga clic en Verificar para validar el vínculo y completar las columnas del archivo .CSV.  Puede agregar o eliminar columnas con el signo más o menos. 
  7. Si el servidor está configurado detrás de otro servidor, seleccione Usar proxy.
  8. Si el servidor requiere credenciales de inicio de sesión, seleccione Autenticado
  9. En Repetir cada, indique la frecuencia con que ESA debe comprobar el archivo .CSV más reciente:
    1. Seleccione Minuto(s), Hora(s), Día(s) o Semana.
    2. Si selecciona Semana, seleccione un día de la semana. 
    3. Haga clic en Rango de fechas para seleccionar una Fecha de inicio y una Fecha de finalización para el programa recurrente.
      Rango de fechas
  10. En el menú desplegable Clave, seleccione el campo que se usará como la clave predeterminada para unir eventos entrantes con la tabla en la memoria cuando se usa una tabla en la memoria basada en CSV como un enriquecimiento. De forma predeterminada, se selecciona la primera columna. También puede modificar posteriormente la clave cuando abra la tabla en la memoria en los orígenes de enriquecimiento.
  11. En el menú desplegable Máx. de filas, seleccione la cantidad de filas que pueden residir en la tabla en la memoria en una instancia específica.
  12. Seleccione Persistir para conservar la tabla en la memoria en disco cuando el servicio de ESA se detenga y para volver a completar la tabla cuando se reinicie.
  13. En el campo Formato de archivo almacenado, realice una de las siguientes acciones:
    • Seleccione Objeto si desea almacenar el archivo en un formato binario.
    • Seleccione JSON si desea almacenar el archivo en un formato de texto.
      De manera predeterminada, la opción Objeto está seleccionada.
  14. Haga clic en Guardar.
    La tabla en la memoria recurrente se configura. Puede agregarlo a la regla como un enriquecimiento o como parte de la condición de regla. Consulte Agregar un enriquecimiento a una regla.

Configuración de una consulta de Esper como un origen de enriquecimiento

Cuando utiliza el “modo experto”, puede crear un origen de enriquecimiento o una ventana con nombre en función de una consulta de Esper. Esto permite tener un mayor control sobre el contenido y crear contenido más dinámico. Cuando hace esto, una consulta de EPL crea la ventana con nombre para capturar el estado de interés a partir del flujo de eventos.

Flujo de trabajo

En el siguiente diagrama se muestra el flujo de trabajo para la creación de una consulta mediante una ventana con nombre:

  1. El evento se envía al motor de Esper.
  2. Se genera una consulta de EPL.
  3. Se activa una alerta.
  4. La consulta comprueba si hay una conexión entre el evento y la ventana con nombre.
  5. Si la hay, se ejecuta y se completa la consulta que completa la ventana con nombre.
  6. El contenido de la ventana con nombre se agrega el contenido de la alerta y se envía o se muestra (según la configuración).

Flujo de trabajo de la consulta de Esper

Requisitos previos

  • Los metadatos que se usan en la declaración de EPL deben existir en los datos.
  • Debe crear declaraciones de EPL formadas correctamente.

Procedimiento

Configurar una tabla en la memoria mediante una consulta de EPL

  1. Vaya a CONFIGURAR > Reglas de ESA.
    La vista Configurar se muestra con la pestaña Reglas abierta.
  2. Haga clic en la pestaña Ajustes de configuración.
  3. En el panel de opciones, seleccione Orígenes de enriquecimiento.
  4. En la sección Orígenes de enriquecimiento, haga clic en Ícono Agregar lista  > Tabla en la memoria.
    Tabla en la memoria: consulta avanzada de enriquecimiento
  5. Seleccione Ad hoc.
    De manera predeterminada, la opción Activar está seleccionada. Cuando se agrega la tabla en la memoria a una regla, las alertas se enriquecen con datos de ella.
  6. En el campo Nombre de tabla definido por el usuario, escriba un nombre descriptivo que describa la tabla en la memoria.
  7. Si desea explicar lo que agrega el enriquecimiento a una alerta, ingrese información en el campo Descripción.
    Esta descripción se muestra cuando la lista de enriquecimientos se ve desde la vista Orígenes de enriquecimiento. Por lo tanto, como una mejor práctica, se recomienda ingresar una descripción completa. Esto permite que otros usuarios comprendan el contenido del enriquecimiento sin abrirlo para examinarlo.
  8. Seleccione Modo experto para definir una configuración avanzada de la tabla en la memoria mediante la escritura de una consulta de EPL.
    Columnas de la tabla se reemplaza por un campo Consulta.
  9. Seleccione Persistir para conservar la tabla en la memoria en disco cuando el servicio de ESA se detenga y para volver a completar la tabla cuando se reinicie.
  10. Ingrese la consulta de EPL en el campo Consulta. La consulta debe estar formada correctamente y se recomienda probarla antes de ingresarla en el campo.
  11. Haga clic en Guardar.

Ejemplo

Por ejemplo, usted creó una regla que busca cinco intentos fallidos de inicio de sesión seguidos de un inicio de sesión correcto. Cuando se activa esta regla, tal vez desee que la notificación contenga información acerca del último usuario que inició sesión en el sistema cuando se produjo este inicio de sesión correcto. Para agregar este enriquecimiento a la notificación, podría optar por crear una tabla de búsqueda en la memoria basada en flujo que se complete a partir de eventos entrantes con el fin de mantener un mapeo de direcciones IP al último usuario que inició sesión desde esa dirección. Para hacer esto, cree un enriquecimiento que use una consulta como su origen.

Paso 1: Crear la regla

En primer lugar, debe crear la regla de correlación. En este caso, usted crea condiciones de regla de operación fallida y correcta, y realiza una agrupación por ip_src.

                               
Condición de la reglaDescripción
FallasEsta condición busca cinco inicios de sesión fallidos con un conector “seguido de”, lo que significa que a la condición (Fallas) le debe seguir la siguiente condición (Satisfactorio).
SatisfactorioEsta condición busca un inicio de sesión satisfactorio. 
Agrupar por: ip_src, device classEl campo Agrupar por se asegura de que todas las condiciones anteriores se agrupen por ip_src y la clase de dispositivo. Esto es importante para la construcción de la regla porque esta intenta encontrar el caso de un usuario que intentó iniciar sesión varias veces con la misma cuenta de destino y, finalmente, logró hacerlo correctamente. La agrupación por clase de dispositivo se asegura de que el usuario que inició sesión en la misma máquina haya intentado iniciar sesión varias veces en una cuenta. La regla puede entregar resultados inesperados si estos no se agrupan.
Ocurre dentro de 5 minutosLa ventana de tiempo para que se produzcan los eventos es cinco minutos. Si se producen los eventos fuera de esta ventana de tiempo, la regla no se activa. 
Secuencia de eventos: StrictLa secuencia de eventos está configurada para una coincidencia estricta de patrones. Esto significa que el patrón debe coincidir exactamente como se especifica, sin eventos intermedios. 

Para las condiciones de regla, usted crea las siguientes declaraciones:

  • La declaración “Failures” busca intentos fallidos de inicio de sesión:
    Declaración Failures
  • La declaración “Success” busca un inicio de sesión correcto:
    Declaración Success
  • En combinación, se tiene la siguiente regla de correlación:
    Error al iniciar sesión seguido de un inicio de sesión correcto

Paso 2: Crear el enriquecimiento

Ahora que creó la regla, debe crear el enriquecimiento que agregará a la salida de la notificación. Siga los pasos anteriores para crear el enriquecimiento, asígnele el nombre Last_Logon y agregue la siguiente consulta:

create window LastLogon.std:unique(ip_src) as (ip_src string, user_dst string);

insert into LastLogon select ip_src, user_dst from CoreEvent

where ec_activity='Logon' and ec_outcome='Success';

El enriquecimiento debe ser similar al siguiente:

El cuadro de diálogo Tabla en la memoria muestra una consulta avanzada

 

Paso 3: Agregar el enriquecimiento a la regla

Ahora que creó la regla básica y el enriquecimiento, debe agregar el enriquecimiento a la regla y unirlo (o conectarlo) a los metadatos de la regla.

Abra la regla Login_Failure_Followed_by_Success para editarla.

Enriquecimiento agregado a la regla

                                 
CampoIngreseDescripción
Salida

Tabla en la memoria

La opción Tabla en la memoria crea una ventana con nombre, la que se puede completar con los datos de la consulta de EPL.
Origen de enriquecimientoLast_Logon (el enriquecimiento que creó anteriormente).Esta es la tabla de búsqueda en la memoria basada en flujo que se completa a partir de eventos entrantes con el fin de mantener un mapeo de direcciones IP al último usuario que inició sesión desde esa dirección.

Metadatos de flujos de eventos de ESA

ip_src

Se trata de un elemento de metadatos del flujo de eventos que puede unir a los datos del enriquecimiento que está completando. Básicamente, ip_src es la condición de unión.

Nombre de columna de origen de enriquecimientoip_srcSe trata de los metadatos del enriquecimiento que puede unir a los datos del flujo de eventos. Debe ser igual que la condición de unión desde el campo Metadatos de flujos de eventos.

Una vez que haya agregado el enriquecimiento, puede guardar la regla.

Cuando la regla se activa, ESA ejecuta la consulta en el enriquecimiento y completa la ventana con nombre con los datos. Si los datos de la ventana con nombre coinciden con la condición de unión, estos se agregan a la salida que puede ver en correo electrónico, SNMP, syslog o script, según la configuración de las notificaciones.

You are here
Table of Contents > Agregar un origen de enriquecimiento de datos > Orígenes de enriquecimiento > Configurar una tabla en la memoria como origen de enriquecimiento

Attachments

    Outcomes