Alertas: Agregar un enriquecimiento a una regla

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

En este tema se indica cómo agregar un origen de enriquecimiento configurado con anterioridad a una regla. Cuando ESA crea una alerta, la información del origen se incluye en ella.

La adición de un enriquecimiento a una regla permite solicitar búsquedas en diversos orígenes e incluir los resultados en las alertas salientes, con lo cual se obtiene una alerta más detallada. Este procedimiento requiere permisos de función para administrador, DPO y administrador del SOC.

Procedimiento

Para agregar un enriquecimiento a una regla:

  1. Vaya a CONFIGURAR > Reglas de ESA.
  2. En la vista Biblioteca de reglas, realice una de las siguientes acciones:
    • Haga doble clic en una regla.
    • Seleccione una regla y haga clic en Ícono Editar en la barra de herramientas de la Biblioteca de reglas.
    El panel Generador de reglas se muestra en una nueva pestaña de NetWitness Suite.
  3. En la sección Enriquecimientos, haga clic en Ícono Agregar lista y seleccione cualquiera de los siguientes tipos de enriquecimientos: 
    • Tabla en la memoria
    • Referencia de base de datos externa
    • Warehouse Analytics
    • GeoIP

      Nota:  Si se usa un origen de GeoIP, ipv4 se completa automáticamente y no es editable. 

    Los tipos de enriquecimiento que seleccionó se muestran en la tabla.
  4. Para el tipo de enriquecimiento agregado, realice lo siguiente:
    • En la columna Salida, seleccione el tipo que configuró.
    • En la lista desplegable Origen de enriquecimiento, seleccione el origen de enriquecimiento que definió.
    • En el campo Metadatos de flujos de eventos de ESA, escriba la clave de metadatos del flujo de eventos cuyo valor se usará como un operando de la condición de unión.
      Sección de enriquecimiento de regla
    • En el campo Nombre de columna de origen de enriquecimiento, escriba el nombre de la columna del origen de enriquecimiento cuyo valor se usará como otro operando de la condición de combinación.
  5. Seleccione Depurar. Esto agregará una anotación @Audit(‘stream’) a la regla. Esto es útil al depurar las reglas de Esper.
  6. Haga clic en Mostrar sintaxis para probar si la regla de ESA definida es válida.
  7. Haga clic en Guardar.

Para obtener detalles y una descripción de los parámetros, consulte Pestaña Generador de reglas.

You are here
Table of Contents > Agregar un origen de enriquecimiento de datos > Agregar un enriquecimiento a una regla

Attachments

    Outcomes