Decoder: Registerkarte „Korrelationsregeln“

Document created by RSA Information Design and Development on May 9, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

Über die Registerkarte „Korrelationsregeln“ (ADMIN > Services > wählen Sie einen Service aus und klicken Sie auf Drop-down-Menü „Aktionen“ > Ansicht > Konfiguration > Registerkarte „Korrelationsregeln“) können Sie Korrelationsregeln managen. Grundlegende Korrelationsregeln werden auf der Sitzungsebene angewendet und weisen die Benutzer auf bestimmte Aktivitäten hin, die möglicherweise in ihrer Umgebung vorkommen. NetWitness Suite wendet Korrelationsregeln über ein konfigurierbares gleitendes Zeitfenster an. 

Was möchten Sie tun?

                  
BenutzerrolleZielDokumentation
AdministratorEine Korrelationsregel hinzufügen oder bearbeitenKonfigurieren von Korrelationsregeln

Verwandte Themen

Überblick

Die folgende Abbildung zeigt die Registerkarte Korrelationsregeln.

In der folgenden Abbildung ist das Dialogfeld Regel-Editor für eine Korrelationsregel gezeigt.

Dies ist das Dialogfeld „Regel-Editor“.

In der folgenden Tabelle sind die Spalten der Registerkarte Korrelationsregeln beschrieben.

                                       
SpalteBeschreibung
Ausstehend In dieser Spalte wird angezeigt, ob für eine Regel Änderungen ausstehen. Zu Regeln, die derzeit auf dem Decoder aktiv sind, wird dies nicht angezeigt. Wenn die Regel neu ist oder geändert wurde, enthält die Spalte Ausstehend-Symbol. Sobald die Regeln angewendet werden, wird das Anzeigeelement gelöscht.
Name Dies ist ein beschreibender Name für die Regel.
Bedingung Dies ist die Definition der Bedingung, die eine Aktion auslöst, wenn sie erfüllt wird.

In Bedingungen müssen alle Zeichenfolgenliterale und Zeitstempel in Anführungszeichen gesetzt werden. Zahlenwerte und IP-Adressen dürfen nicht in Anführungszeichen gesetzt werden. Unter Konfigurieren von Decoder-Regeln finden Sie zusätzliche Details.
Instanzschlüssel Dies ist der Zielindikator, auf dem das Ereignis basiert. Er kann ein einziger Primärschlüssel sein, wie etwa ip.src, oder ein zusammengesetzter Primärschlüssel, wie etwa ip.src,ip.dst.
Schwellenwert Dies ist die Mindestanzahl von Vorkommnissen, die erforderlich sind, um eine Korrelationssitzung auszulösen. Dazu kann ein Schlüssel angegeben werden, der den Metadatentyp identifiziert, anhand dessen wir feststellen können, ob die Bedingung erfüllt ist. Die Korrelations-Engine kann IPv4 oder IPv6 nicht als zugehörigen Metadatentyp verwenden. Verwenden Sie eines dieser drei Argumente:
  • u_count(associated_key) = die Anzahl eindeutiger Werte des angegebenen Schlüssels. Ein Schlüssel ist erforderlich.
  • sum(associated_key) = die Werte des angegebenen Schlüssels, ein Schlüssel ist erforderlich.
  • count() = Anzahl der Sitzungen, kein zugehöriger Schlüssel verwendet. Wenn enthalten, wird er ignoriert.
Zeitfenster Dies ist die Dauer in Stunden, Minuten oder Sekunden, innerhalb der der Schwellenwert erreicht werden muss, um eine Korrelationssitzung auszulösen.
Status In dieser Spalte wird mit einem Kreissymbol angezeigt, ob die Regel aktiviert oder deaktiviert ist. Wenn der Kreis grün gefüllt ist, ist die Regel aktiviert. Wenn der Kreis leer ist, ist die Regel deaktiviert.

Das Dialogfeld Regel-Editor enthält die Felder und Optionen, die zur Definition einer Netzwerkregel erforderlich sind. Die Felder entsprechen genau den Rasterspalten.

                           
AktionBeschreibung
Zurücksetzen Setzt die Inhalte des Dialogfelds auf die Werte vor der Bearbeitung zurück; Änderungen werden verworfen.
Abbrechen Bricht alle Bearbeitungen ab und schließt das Regel-Editor-Dialogfeld.
OK Speichert die neue oder bearbeitete Regel und fügt diese dem Regelraster hinzu Das Regel-Editor-Dialogfeld wird geschlossen.
Speichern (Nur für Regeln mit veralteter Syntax) Wendet eine korrigierte Regel einzeln auf den Decoder-Service an. Siehe Korrigieren von Regeln mit ungültiger Syntax.
You are here
Table of Contents > Decoder- und Log Decoder-Referenzen > Ansicht „Service-Konfiguration“ – Registerkarte „Korrelationsregeln“

Attachments

    Outcomes