Decoder: Pestaña Reglas de correlación

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

La pestaña Reglas de correlación (ADMIN > Servicios > seleccione un servicio y haga clic en El menú desplegable Acciones > Ver > Configuración > pestaña Reglas de correlación) permite administrar las reglas de correlación. Las reglas de correlación básicas se aplican en el nivel de sesión y advierten al usuario sobre actividades específicas que pueden estar ocurriendo en su ambiente. NetWitness Suite aplica las reglas de correlación en una ventana de tiempo móvil configurable. 

¿Qué desea hacer?

                  
Función de usuarioDeseo…Documentación
Administradoragregar o editar una regla de correlaciónConfigurar reglas de correlación

Temas relacionados

Vista rápida

En la siguiente figura se muestra la pestaña Reglas de correlación.

En la siguiente figura se muestra el cuadro de diálogo Editor de regla para una regla de correlación.

Este es el cuadro de diálogo Editor de regla.

En la siguiente tabla se describen las columnas de la pestaña Reglas de correlación.

                                       
ColumnaDescripción
Pendiente Esta columna indica si una regla tiene cambios pendientes. Las reglas que están actualmente activas en el Decoder no tienen indicador. Si la regla es nueva o se modificó, la columna contiene El ícono de Pendiente. Una vez que se aplican las reglas, el indicador de pendiente se elimina.
Nombre Este el nombre descriptivo de la regla.
Condición Esta es la definición de la condición que activa una acción cuando hay coincidencia con ella.

En las condiciones, todos los literales de cadena y los registros de fecha y hora deben ir entre comillas. No use comillas para los valores de número ni las direcciones IP. En Configurar reglas de Decoder se proporcionan detalles adicionales.
Clave de instancia Este es el indicador de destino en el que se basa el evento. Puede ser una única clave primaria, como ip.src o una clave primaria compuesta, como ip.src,ip.dst.
Umbral Es la cantidad mínima de apariciones necesarias para activar una sesión de correlación y puede incluir una clave asociada que identifique el tipo de metadatos que se están contando para determinar si se cumple la condición. El motor de correlación no puede usar IPv4 o IPv6 comoun tipo de metadatos asociado. Use uno de los tres argumentos siguientes:
  • u_count(associated_key) = el conteo de valores únicos de la clave especificada. Se requiere una clave.
  • sum(associated_key) = los valores de la clave especificada. Se requiere una clave.
  • count() = cantidad de sesiones, no se usa una clave asociada. Si se incluye, se omite.
Ventana de tiempo Es la duración en horas, minutos o segundos dentro de la cual se debe alcanzar el umbral para que se active una sesión de correlación.
Estado Esta columna indica si la regla está habilitada o deshabilitada con un ícono de círculo. Si el interior del círculo es verde, la regla está activada. Si el círculo está vacío, la regla está deshabilitada.

El cuadro de diálogo Editor de regla proporciona las opciones y los campos necesarios para definir una regla de red. Los campos corresponden exactamente a las columnas de la cuadrícula.

                           
AcciónDescripción
Restablecer Restablece los contenidos del cuadro de diálogo a los valores previos a la edición; los cambios se anulan.
Cancelar Cancela las ediciones y cierra el cuadro de diálogo Editor de regla.
Aceptar Guarda la regla nueva o editada y la agrega a la cuadrícula de reglas. El cuadro de diálogo Editor de regla se cierra.
Guardar (Solo reglas con sintaxis obsoleta) Aplica una regla corregida individualmente al servicio Decoder. Consulte Corregir las reglas con sintaxis no válida.
You are here
Table of Contents > Referencias de Decoder y Log Decoder > Vista Configuración de servicios: Pestaña Reglas de correlación

Attachments

    Outcomes