Alerting: Pestaña Generador de reglas

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

La pestaña Generador de reglas permite definir una regla del generador de reglas.

¿Qué desea hacer?

                            
Función Deseo…Mostrarme cómo
Experto en contenido

Definir una regla del generador de reglas.

Agregar una regla del generador de reglas

Experto en contenido

Definir criterios de regla.

Paso 2. Crear una declaración de regla

Experto en contenido

Agregar condiciones a la regla.

Paso 3. Agregar condiciones a una declaración de regla

Temas relacionados

Generador de reglas

Para acceder a la pestaña Generador de reglas:

  1. Vaya a CONFIGURAR > Reglas de ESA.

    La pestaña Reglas se abre de manera predeterminada.

  2. En la barra de herramientas Biblioteca de reglas, seleccione Ícono Agregar lista > Generador de reglas.

    Se muestra la pestaña Generador de reglas.

En la siguiente figura se muestra la pestaña Generador de reglas.

Pestaña Generador de reglas

En la siguiente tabla se indican los parámetros de la pestaña Generador de reglas.

                            
ParámetrosDescripción
Nombre de la reglaObjetivo de la regla de ESA.
Descripción Resumen de lo que detecta la regla de ESA.
Regla de pruebaModo de implementación para ver si la regla se ejecuta eficientemente.
Gravedad Nivel de amenaza de la alerta que activó la regla.

En la pestaña Generador de reglas se incluyen los siguientes componentes:

  • Sección Condiciones
  • Sección Notificaciones
  • Sección Enriquecimientos

Sección Condiciones

La sección Condiciones de la pestaña Generador de reglas permite definir lo que detecta la regla.

En la siguiente figura se muestra la sección Condiciones.

Sección Condiciones del generador de reglas

 

En la siguiente tabla se enumeran los parámetros de la sección Condiciones.

                                                         
ParámetroDescripción
Ícono Agregar Agregue una declaración.
Ícono Eliminar Elimine la declaración seleccionada.
Ícono Editar Edite la declaración seleccionada.
DeclaraciónGrupo lógico de condiciones para una operación.
OcurreFrecuencia de la alerta si se cumple la condición. Esto especifica que debe haber al menos esa cantidad de eventos que satisfagan los criterios para activar una alerta. La ventana de tiempo en minutos vincula el conteo de Ocurre.
ConnectorOpciones para especificar la relación entre las declaraciones:
  • seguido de
  • no seguido de
  • Y
  • O
El conector une dos declaraciones con Y, O, seguido de o no seguido de. Cuando se usa seguido de, especifica que hay una secuencia de esos eventos. Y y O crean un criterio grande. Seguido de crea criterios distintos que ocurren en secuencia.
Tipo de correlaciónTipo de correlación solo se aplica a seguido de y no seguido de. Si elige el tipo de correlación SAME, seleccione un elemento de metadatos para realizar la correlación y, si elige el tipo de correlación JOIN, seleccione dos metadatos para realizarla. Tal vez desee usar JOIN si intenta correlacionar un elemento de metadatos de dos orígenes de datos distintos. Por ejemplo, usted desea correlacionar una alerta de antivirus con una alerta de IDS.
MetadatosIngrese la condición de metadatos si elige un tipo de correlación SAME o JOIN (como se describió anteriormente).

Metadatos

Ingrese la segunda condición de metadatos si elige un tipo de correlación JOIN (como se describió anteriormente). Por ejemplo, la dirección IP de destino de la alerta de antivirus y la dirección IP de origen para la estación de trabajo de la alerta de IDS se unen para permitirle ver las mismas entidades en distintos orígenes.

ocurre dentro de minutosVentana de tiempo dentro de la cual deben producirse las condiciones. 
Secuencia de eventos

Elija si el patrón debe seguir una coincidencia Estricta o una Flexible. Si especifica una coincidencia estricta, esto significa que el patrón se debe producir en la secuencia exacta que se especificó, sin eventos adicionales entremedio. Por ejemplo, si la secuencia especifica cinco inicios de sesión fallidos (F) seguidos de un inicio de sesión correcto (S), este patrón solo coincidirá si el usuario ejecuta la siguiente secuencia: F, F, F, F, F, S. Si especifica una coincidencia flexible, significa que se pueden producir otros eventos dentro de la secuencia, pero que la regla se activará si también se producen todos los eventos especificados. Por ejemplo, cinco intentos de inicio de sesión fallidos (F), seguidos de un número indeterminado de intentos de inicio de sesión correctos intermedios (S), seguidos de un intento de inicio de sesión correcto pueden crear el siguiente patrón: F, S, F, S, F, S, F, S, F, S, lo cual activará la regla a pesar de los inicios de sesión intermedios correctos. 

Agrupar por

Seleccione la clave de metadatos por la cual se agrupan los resultados en la lista desplegable. Por ejemplo, suponga que hay tres usuarios, Joe, Jane y John, y utiliza los metadatos Agrupar por, user_dst (user_dst es el campo de metadatos para la cuenta de destino de usuario). El resultado mostrará eventos agrupados bajo las cuentas de destino de usuario, Joe, Jane y John.

También puede agrupar por varias claves. Por ejemplo, es posible que desee agrupar por usuario y por máquina para ver si un usuario que inició sesión en la misma máquina intenta iniciar sesión varias veces en una cuenta.  Para hacerlo, puede agrupar por device_class y user_dst.

Notificaciones

En la sección Notificaciones, puede elegir cómo desea que se le informe cuando ESA genere una alerta para la regla.

Para obtener más información sobre las notificaciones de alertas, consulte Agregar un método de notificación a una regla.

En la siguiente figura se muestra la sección Notificaciones.
Sección Notificaciones del generador de reglas

                                            
ParámetroDescripción
Ícono Agregar lista Para agregar un tipo de notificación de alerta.
Ícono Eliminar Para eliminar la notificación de alerta seleccionada.
SalidaTipo de notificación de alerta. Las opciones son:
  • Correo electrónico
  • SNMP
  • Syslog
  • Script
NotificaciónNombre de la salida configurada con anterioridad, como una lista de distribución de correo electrónico.
Servidor de notificaciónNombre del servidor que envía la salida.
PlantillaNombre de la plantilla para la notificación de la alerta.
Supresión de salida de cada    Opción para especificar la frecuencia de la alerta.
MinutosFrecuencia de la alerta en minutos.

Enriquecimientos

En la sección Enriquecimientos, puede agregar un origen de enriquecimiento de datos a una regla.

Para obtener más información sobre los enriquecimientos, consulte Agregar un enriquecimiento a una regla.

En la siguiente figura se muestra la sección Enriquecimientos.

Sección Enriquecimientos

                                 
ParámetroDescripción
Ícono Agregar lista Para agregar un enriquecimiento.
Ícono Eliminar Para eliminar el enriquecimiento seleccionado.
SalidaTipo de origen de enriquecimiento. Las opciones son:
  • Tabla en la memoria
  • Referencia de base de datos externa
  • Warehouse Analytics
  • GeoIP
Origen de enriquecimientoNombre del origen de enriquecimiento configurado con anterioridad, como un nombre de archivo .CSV para una tabla en la memoria.
Metadatos de flujos de eventos de ESAClave de metadatos de ESA cuyo valor se usará como un operando de la condición de combinación.
Nombre de columna de origen de enriquecimiento Nombre de la columna de origen de enriquecimiento cuyo valor se usará como otro operando de la condición de combinación.

Para una tabla en la memoria, si configuró una clave cuando creó un enriquecimiento basado en .CSV, esta columna se completa automáticamente con la clave seleccionada. Sin embargo, la puede cambiar si lo desea. 

Para un origen de enriquecimiento GeoIP, ipv4 se selecciona automáticamente. 
Next Topic:Pestaña Reglas
You are here
Table of Contents > Referencias de alertas de ESA > Pestaña Generador de reglas

Attachments

    Outcomes