Alertas: Agregar una regla de EPL avanzado

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se proporcionan instrucciones para definir criterios de regla mediante la redacción de una consulta de EPL. EPL es un lenguaje declarativo para manejar datos de eventos de alta frecuencia basados en tiempo. Se utiliza para expresar filtrado, agregación y uniones en ventanas posiblemente deslizantes de varios flujos de eventos. EPL también incluye una semántica de patrones para expresar causalidad temporal compleja entre eventos.

Escriba una regla de EPL avanzado cuando los criterios de regla sean más complejos que los que se pueden especificar en el generador de reglas.

La explicación de la sintaxis de EPL está fuera del alcance de esta guía. 

Requisitos previos

Los siguientes son requisitos previos para agregar una regla avanzada:

  • Debe conocer el lenguaje de procesamiento de eventos (EPL).
  • Debe comprender las anotaciones de ESA para marcar las declaraciones de EPL vinculadas a la generación de alertas.

Procedimiento

Para agregar una regla de EPL avanzado:

  1. Vaya a CONFIGURAR > Reglas de ESA.
  2. En la Biblioteca de reglas, seleccione Ícono Agregar lista > EPL avanzado.

    Pestaña Nueva regla de EPL avanzado

  3. Escriba un nombre descriptivo único en el campo Nombre de la regla.

    Este nombre aparecerá en la Biblioteca de reglas, por lo cual debe ser muy específico para diferenciar esta regla de las demás.

  4. En el campo Descripción, explique los eventos que detecta la regla.

    El principio de esta descripción aparecerá en la Biblioteca de reglas

  5. Seleccione Regla de prueba para deshabilitar automáticamente la regla si todas las reglas de prueba superan en conjunto el umbral de la memoria.

    Use el modo de regla de prueba como resguardo para ver si una regla se ejecuta eficientemente e impedir que se produzca tiempo fuera debido a la falta de memoria. Para obtener más información, consulte Trabajar con reglas de prueba.

  6. En Gravedad, clasifique la regla como Baja, Media, Alta o Crítica.
  7. Para definir criterios de regla, escriba una Consulta en EPL.

    Nota: En todos los nombres de clave de metadatos, use un guion bajo y no un punto. Por ejemplo,ec_outcome es correcto, pero ec.outcome no lo es.

  8. Para la generación dinámica de nombres de declaración en ESA, las claves de metadatos deben ir entre llaves y esta anotación se debe incluir en la sintaxis:

    @Name("RIG {ip_src} {alias_host} {ec_activity}")

    donde,

    • RIG es la parte estática del nombre de la declaración
    • {ip_src}, {alias_host}, {ec_activity} es la parte dinámica del nombre de la declaración

    Nota: Si cualquiera de los metadatos en la parte dinámica del nombre de la declaración tiene un valor nulo, se muestra como texto estático.

    Si una regla debe generar una alerta, incluya esta anotación de ESA en la sintaxis:

    @RSAAlert

    Para obtener más información acerca de las anotaciones de ESA, consulte Anotaciones de ESA.

You are here
Table of Contents > Agregar reglas a la Biblioteca de reglas > Agregar una regla de EPL avanzado

Attachments

    Outcomes