Configuración de Respond: Pestaña Nueva regla

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

La pestaña Nuevas reglas permite crear reglas de agregación personalizadas para automatizar el proceso de creación de incidentes. En este tema se describe la información que se requiere cuando se crea una nueva regla.

¿Qué desea hacer?

                       
FunciónDeseo…Mostrarme cómo
Analista, experto en contenido, administrador del SOCCrear una regla de agregación.Paso 3. Crear una regla de agregación para alertas
Encargados de respuesta ante incidentes, analistas, expertos en contenido, administrador del SOCVer los resultados de mi regla de agregación (Ver amenazas detectadas).Consulte “Respuesta ante incidentes” en la Guía del usuario de NetWitness Respond.

Temas relacionados

Nueva regla

Para acceder a la vista de la pestaña Nueva regla:

  1. Vaya a CONFIGURAR > Reglas de incidentes > pestaña Reglas de agregación.

  2. Haga clic en Ícono Agregar.

    Se muestra la pestaña Nueva regla.

    Pestaña Nueva regla

En la siguiente tabla se describen las opciones disponibles cuando se crean reglas de agregación personalizadas.

                                                        
CampoDescripción
HabilitadoSeleccione esta opción para activar la regla.
Nombre*Nombre de la regla. Este campo es obligatorio. 
DescripciónDescripción de la regla que permite formarse una idea de las alertas que se agregan.
Condiciones de coincidencia*

Generador de consultas: seleccione si desea crear una consulta con diversas condiciones que se pueden agrupar. También puede tener grupos de condiciones anidados.

Condiciones de coincidencia: puede configurar el valor en Todas estas, Cualquiera de estas o Ninguna de estas. De acuerdo con la selección, se buscan coincidencias con los tipos de criterios especificados en las condiciones y el grupo de condiciones para agrupar las alertas.

Por ejemplo, si configura la condición de coincidencia en Todas estas, las alertas que coinciden con los criterios mencionados en las condiciones y el grupo de condiciones se agrupan en un incidente.

  • Agregue una condición para la cual se buscarán coincidencias mediante un clic en Ícono Agregar Agregar condición.
  • Agregue un grupo de condiciones mediante un clic en Ícono Agregar Agregar grupo y agregue condiciones mediante un clic en Ícono Agregar Agregar condición.

Puede incluir múltiples condiciones y grupos de condiciones para los cuales se pueden buscar coincidencias conforme a los criterios establecidos con el fin de agrupar las alertas entrantes en incidentes.

Avanzado: seleccione si desea agregar un generador de consultas avanzado. Puede agregar una condición específica que se deba hacer coincidir de acuerdo con la opción de coincidencia seleccionada.

Por ejemplo: puede ingresar el formato del generador de criterios {"$and": [{"alert.severity" : {"$gt":4}}]} para agrupar alertas que tienen una gravedad mayor que 4.

Para conocer la sintaxis avanzada, consulte http://docs.mongodb.org/manual/reference/operator/query/ o http://docs.mongodb.org/manual/reference/method/db.collection.find/

Acción

Agrupar en un incidente: si esta opción está activada, las alertas que coinciden con los criterios establecidos se agrupan en una alerta.

Suprimir la alerta: si esta opción está activada, las alertas que coinciden con los criterios se suprimen.

Opciones de agrupación*

Agrupar por: Criterios para agrupar las alertas según la categoría especificada. Puede usar un máximo de dos atributos para agrupar las alertas. Puede agruparlas con uno o dos atributos. Ya no las puede agrupar con atributos que no tienen valores (atributos vacíos).
El agrupamiento según un atributo significa que todas las alertas coincidentes que contienen el mismo valor para ese atributo se agrupan juntas en el mismo incidente.

Ventana de tiempo: El rango de tiempo especificado para agrupar alertas.
Por ejemplo, si la ventana de tiempo se configura en una hora, todas las alertas que coinciden con los criterios establecidos en el campo Agrupar por y que llegan con una hora de diferencia unas de otras se agrupan en un incidente.

Opciones de incidente

Título: (Opcional) Título del incidente. Puede proporcionar marcadores de posición basados en los atributos que agrupó. Los marcadores de posición son opcionales. Si no usa marcadores de posición, todos los incidentes que crea la regla tendrán el mismo título.

Por ejemplo, si las agrupó según el origen, el incidente resultante se puede llamar Alertas para ${groupByValue1} y el incidente para todas las alertas de NetWitness Endpoint tendría el nombre Alertas para NetWitness Endpoint.

Resumen: (opcional) resumen del incidente.
Categoría: (opcional) categoría del incidente creado. Un incidente se puede clasificar por más de una categoría.
Usuario asignado: (opcional) nombre del usuario asignado a quien se asigna el incidente.
Prioridad

Promedio de puntaje de riesgo en todas las alertas: toma el promedio de los puntajes de riesgo en todas las alertas para establecer la prioridad del incidente creado.

Puntaje de riesgo más alto disponible en todas las alertas: toma el puntaje más alto disponible en todas las alertas para establecer la prioridad del incidente creado.

Cantidad de alertas en la ventana de tiempo: toma el conteo de la cantidad de alertas en la ventana de tiempo seleccionada para establecer la prioridad del incidente creado.

Crítica, Alta, Media y Baja: especifique el umbral de prioridad de los incidentes con coincidencia. Los valores predeterminados son:

  • Crítica: 90
  • Alta: 50
  • Media: 20
  • Baja: 1

Por ejemplo, con la prioridad Crítica configurada en 90, a los incidentes con un puntaje de riesgo de 90 o más se les asignará una prioridad Crítica para esta regla.

Puede cambiar estos valores predeterminados mediante la modificación manual de las prioridades o el uso del control deslizante bajo Mover control deslizante para ajustar escala.

You are here
Table of Contents > Referencia de la configuración de NetWitness Respond > Pestaña Nueva regla

Attachments

    Outcomes