ESM: Formulario Crear grupo de orígenes de eventos

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

El formulario Crear grupo de orígenes de eventos se muestra cuando se crea o se edita un grupo de orígenes de eventos.

Parámetros

En la siguiente tabla se describen los campos del formulario Crear/Editar un grupo de eventos.

                             
CampoDescripción
Group Name

Este campo es obligatorio y aparece en toda la interfaz del usuario de NetWitness Suite como el identificador del grupo.

Descripción

Descripción opcional que ayuda a describir el propósito o los detalles del grupo.

Herramientas

esm_grpRules.png

En la barra de herramientas están disponibles los siguientes elementos:

  • Agregar (+): si se hace clic en Agregar, se muestra un menú que permite optar por agregar una condición o un grupo.
  • Eliminar (-): elimina la regla o el grupo de reglas seleccionados de la lista.

Cuando se agrega un nuevo grupo, esto tiene el efecto de crear niveles de condiciones anidados.

Condiciones

Se describen a continuación, en la tabla Criterios de las reglas.

Cancelar/Guardar

Las opciones Cancelar y Guardar están disponibles en el formulario.

Criterios de las reglas

Las reglas que especifica determinan los orígenes de eventos que formarán parte de este grupo de orígenes de eventos. Una regla consta de lo siguiente:

  • Agrupación: cómo interactúa la regla con otras reglas
  • Atributo: con qué atributo se hace coincidir la regla
  • Operador: cómo coincide la regla con el atributo
  • Valor: el valor del atributo que se usa para la regla

En la siguiente tabla se proporcionan detalles acerca de estos constructores de reglas.

                         
Constructor de reglasDetalles
Agrupamiento

Puede agrupar condiciones para crear reglas complejas para un grupo de orígenes de eventos. Cuando se agrupan las reglas, están disponibles las siguientes opciones:

  • Todas estas: lógicamente equivalente a AND
  • Cualquiera de estas: lógicamente equivalente a OR
  • Ninguna de estas: lógicamente equivalente a NOT

Si está creando un grupo simple y especificando una única condición, puede dejar seleccionado el valor predeterminado (Todas estas).

Atributo

Contiene una lista desplegable que consta de todos los atributos de orígenes de eventos. Los atributos se muestran por la sección a la cual pertenecen. Por ejemplo, todos los atributos de Identificación se muestran primero, seguidos de las Propiedades, la Importancia, etc.

Operador

Elija entre las siguientes opciones:

  • Es igual a: coincide con el valor especificado

  • No es igual a: devuelve orígenes de eventos cuyo atributo especificado no es igual al valor proporcionado

  • En: proporcione una lista de valores en formato separado por comas y se incluirán orígenes de eventos que coinciden con cualquiera de los valores especificados. Por ejemplo:

    Where IP in 10.25.50.146, 10.25.50.248

    Esta condición devuelve orígenes de eventos que tienen el atributo de IP 10.25.50.146 or 10.25.50.248.

  • No en: similar a En, salvo que coincide con elementos cuyo atributo no es igual a ninguno de los valores enumerados.

  • Como: coincide con elementos que comienzan con la cadena especificada. Por ejemplo:

    Where Event Source Type Like Apache

    Esta condición devuelve orígenes de eventos cuyo tipo de origen de eventos comienza con Apache.

  • No como: similar a Como, salvo que coincide con elementos cuyo atributo no comienza con la cadena especificada.

  • Mayor que: coincide con elementos cuyo atributo es mayor que el valor especificado. Por ejemplo, si especifica Prioridad Mayor que 5, la condición coincidiría con cualquier elemento que tuviera una prioridad de 6 o más.

  • Menor que: similar a Mayor que. Coincide con elementos cuyo atributo es menor que el valor especificado.

Valor

Ingrese un valor o un grupo de valores. El tipo de valor depende del atributo para la condición. Por ejemplo, para IPv6 debe especificar un valor en formato IPv6.

You are here
Table of Contents > Administrar grupos de orígenes de eventos > ESM: Formulario Crear grupo de orígenes de eventos

Attachments

    Outcomes