Reporting: Konfigurieren einer Regel

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode

Sie können eine neue Regel erstellen oder eine vorhandene Regel aus Live-Services bereitstellen, die in einem Bericht verwendet werden kann. Sie können unterschiedliche Bedingungen verwenden, um die Daten oder Informationen in den Datenquellen zu verfeinern:

  • select-Klausel
  • where-Klausel
  • Gruppieren nach
  • Sortieren nach usw.

Sie können beispielsweise eine Regel schreiben, um die 20 Top-Webadressen anzuzeigen, die die Benutzer täglich aufrufen.

Sie können mithilfe verschiedener Datenquellen unterschiedliche Arten von Regeln erstellen. In folgenden Themen erhalten Sie weitere Informationen zum Erstellen einer Regel für die verschiedenen Datenquellen:

  • Erstellen einer Regel mithilfe einer NetWitness-Datenquelle
  • Erstellen einer Regel mit einer Warehouse-Datenquelle
  • Erstellen einer Regel mit einer Respond-Datenquelle

Sie können in einer Regel auch eine Liste verwenden, um ein Suchergebnis aus der Datenquelle zu verfeinern. Nach dem Erstellen einer Regel können Sie diese Regel testen, um die von der Regel zurückgegebenen Ergebnisse zu betrachten.

Erstellen einer Regelgruppe

Führen Sie zum Erstellen einer Regelgruppe oder -untergruppe die folgenden Schritte aus:

  1. Wählen Sie Monitor > Berichte aus.
    Die Registerkarte „Managen“ wird angezeigt.
  2. Führen Sie einen der folgenden Schritte aus.
    • So definieren Sie eine Regelgruppe:
      1. Klicken Sie im Bereich „Regelgruppen“ auf Add button.
        Die neue Regelgruppe wird zum Bereich „Regelgruppen“ hinzugefügt.
      2. Geben Sie den Namen für die Regelgruppe ein und drücken Sie die EINGABETASTE.
    • So fügen Sie eine Regeluntergruppe hinzu:
      1. Wählen Sie im Bereich „Regelgruppen“ die Regelgruppe aus, der Sie eine Untergruppe hinzufügen möchten.
      2. Klicken Sie auf Add button.
        Die neue Regeluntergruppe wird zur Regelgruppe hinzugefügt.
      3. Geben Sie den Namen für die Regeluntergruppe ein und drücken Sie die EINGABETASTE.

Erstellen einer Regel mithilfe einer NetWitness-Datenquelle

Sie können eine Regel erstellen, um Daten oder Ereignisse von einer NetWitness-Datenquelle abzurufen. Mit demselben Verfahren können Sie eine Regel definieren, mit der Daten oder Ereignisse von einer Archiver-Datenquelle abgerufen werden.

Die Archiver-Datenquelle kann in der Ansicht „Service-Konfiguration“ der Reporting Engine hinzugefügt werden. Weitere Informationen erhalten Sie unter „(Optional) Hinzufügen von Archiver als Datenquelle zur Reporting Engine“ im Archiver-Konfigurationsleitfaden.

Voraussetzungen

Stellen Sie sicher, dass Sie verstehen, wie benutzerdefinierte Metaschlüssel mithilfe des benutzerdefinierten Feeds erstellt werden. Weitere Informationen finden Sie unter „Erstellen benutzerdefinierter Metaschlüssel mithilfe benutzerdefinierter Feeds“ im Konfigurationsleitfaden für Decoder und Log Decoder.

Um eine Regel zu erstellen, mit der Daten oder Ereignisse von einer NetWitness-Datenquelle abgerufen werden, führen Sie die folgenden Schritte aus:

  1. Wählen Sie Monitor > Berichte aus.

    Die Registerkarte „Managen“ wird angezeigt.

  2. Klicken Sie in der Symbolleiste „Regeln“ auf Add button >NetWitnessDB.
    Die Registerkarte der Ansicht Regel erstellen wird angezeigt.

    Build Rule View

  3. Im Feld Regeltyp ist standardmäßig NetWitness-DB ausgewählt.
  4. Geben Sie in das Feld Name einen Namen ein, der zur Identifizierung oder Kennzeichnung der Regel in Warnmeldungen und Berichten dient.
  5. Das Feld Zusammenfassen bestimmt den Typ der Zusammenfassung oder Aggregation für die Regel. Basierend auf dem Typ der zu definierenden Regel müssen Sie eines der Folgenden auswählen:
    • Zum Definieren einer Nicht-Aggregatregel ohne Gruppierung wählen Sie: Keine
    • Zum Definieren einer Aggregatregel mit spezieller Aggregation wie bei Aggregatfunktionen zu Sammlungen (Sitzungen/Ereignisse/Pakete) wählen Sie eine der folgenden Optionen aus:

      • Ereignisanzahl
      • Paketanzahl
      • Sitzungsgröße
    • Zum Definieren einer Aggregatregel mit Metawerten und benutzerdefinierten Aggregatfunktionen wie sum(), count() usw. wählen Sie: Custom

      Durch Auswahl von Benutzerdefiniert im Feld Zusammenfassen können Sie in der Klausel Auswählen die Aggregatfunktion Ihrer Wahl im definieren. Beispiel: Wählen Sie „ip.src“, „countdistinct(ip.dst)“ und „distinct(ip.dst)“ aus. Die unterstützten Aggregatfunktionen sind:

      • sum (<meta>) 
      • count(<meta>)
      • countdistinct(<meta>)
      • min(<meta>)
      • max(<meta>)
      • avg(<meta>)
      • first(<meta>)
      • last(<meta>)
      • len(<meta>)
      • distinct(<meta>)

      Detaillierte Informationen zu Aggregatregeln und Nichtaggregatregeln finden Sie im Abschnitt „NWDB-Regelsyntax in Regelsyntax .

  6. Geben Sie in das Feld Auswählen Metadaten ein oder wählen Sie Metadaten aus der Liste verfügbarer Metadatentypen aus, die in der Metabibliothek bereitgestellt werden. Weitere Informationen finden Sie unter Bereich „Meta“ in Ansicht „Regel erstellen“. Der Metaname zum Abrufen des Rohdatenprotokolls lautet „raw“. „raw“ kann nur im Feld Auswählen verwendet werden. Es kann nicht in den Feldern Wo und Dann verwendet werden. Für benutzerdefinierte Aggregatregeln werden im Feld Auswählen mehrere Aggregatfunktionen unterstützt.

    Hinweis: In früheren Versionen von NetWitness Suite wurde für benutzerdefinierte Aggregatregeln in der SELECT-Klausel nur eine Aggregatfunktion unterstützt. Ab jetzt werden in der Klausel Auswählen mehrere Aggregatfunktionen unterstützt. Beispiel: Wählen Sie ip.src, username, service, distinct(country.src), sum(payload) aus.

  7. Geben Sie im Feld Alias den Aliasnamen für die Spalten ein, die in der SELECT-Klausel verwendet werden.
  8. Geben Sie im Feld Wo einen Metadatentyp ein oder wählen Sie einen aus der Liste der verfügbaren Metadatentyp aus. Erstellen Sie mithilfe der Operatoren die Where-Klausel für die zugrunde liegenden Abfragekriterien.
  9. Das Feld Gruppieren nach ist ein schreibgeschütztes Feld, dass mit Metadaten gefüllt wird, die in der Klausel Auswählen definiert sind. Für eine Nicht-Aggregatfunktion ist dieses Feld nicht sichtbar. Im Feld Gruppieren nach werden maximal sechs Metadaten unterstützt.

    Hinweis: In früheren Versionen von NetWitness Suite wurde für benutzerdefinierte Aggregatregeln in der Klausel Gruppieren nach nur ein Metadatentyp unterstützt. Ab jetzt werden in der Klausel Gruppieren nach maximal sechs Metawerte unterstützt.

  10. Geben Sie im Feld Dann die Regelaktionen ein, mit denen der ursprüngliche Ergebnissatz einer Regel bearbeitet wird, um die Ausgabe in einem Bericht zu konkretisieren oder um zusätzlich zum Abfragen und Anzeigen von Daten weitere Funktionen hinzuzufügen, wie etwa einen Feed aus den Ergebnissen erstellen. Eine vollständige Liste der verfügbaren Regelaktionen finden Sie unter „NWDB-Regelsyntax“ in Regelsyntax .

    Hinweis: Bei der Ausführung einer Regel für eine Archiver-Datenquelle wird empfohlen, keine abfragenintensiven Regelaktionen, wie lookup_and_add() und show_whats_new(), zu verwenden.

  11. Führen Sie im Feld Sortieren nach folgende Schritte aus:

    1. Geben Sie in die Spalte Spaltenname den Namen der Spalten ein, nach denen Sie die Ergebnisse sortieren möchten. Standardmäßig ist der Wert leer. Der Wert wird basierend auf dem im Feld Zusammenfassen ausgewählten Wert ausgefüllt.

      • Wenn für Zusammenfassen der Wert Keine ausgewählt ist, wird bei Auswahl von Sortieren nach standardmäßig nach Sitzungs- oder Sammlungszeit sortiert.
      • Bei anderen Werten für „Zusammenfassen“ basiert die Standardsortierung auf den ersten für „Gruppieren nach“ ausgewählten Metadaten, wenn kein Wert für „Sortieren nach“ definiert ist. Die zulässigen Werte für „Ereignisanzahl“, „Paketanzahl“ und „Sitzungsgröße“ sind „Gesamt“ und „Wert“.
    2. Wählen Sie in der Spalte Sortieren nach eine der folgenden Möglichkeiten aus, um die Ergebnisse zu sortieren:

      • Aufsteigende Reihenfolge
      • Absteigende Reihenfolge
  12. Geben Sie im Feld Sitzungsschwellenwert die Optimierungseinstellung ein, um das Scannen der entsprechenden Sitzungen auf jeden möglichen eindeutigen Wert für die ausgewählten Metadaten zu stoppen. Der Schwellenwert ist eine Ganzzahl zwischen 0 (Standard) und 2147483647.

    Hinweis: Dies gilt nur für NWDB-Aggregatregeln. Wenn der Standardwert angegeben wurde, werden alle entsprechenden Sitzungen gescannt und der korrekte Wert wird zurückgegeben. Ein höherer Sitzungsschwellenwert ermöglicht genauere Zählerangaben für einen Wert. Dies führt jedoch zu längeren Ausführungszeiten für die Regel. Beispiel: Sie möchten für ip.src den Sitzungsschwellenwert „1000“ festlegen. Wenn bei 5.000 relevanten Sitzungen ein bestimmter ip.src-Wert in mehr als 1.000 Sitzungen auftritt, wird das Scannen durch NWDB nach 1.000 Sitzungen beendet und der extrapolierte Aggregatwert zurückgegeben. Auf diese Weise wird die Abfrageausführungszeit optimiert. Wenn der Wert in weniger als 1000 Sitzungen auftritt, wird der tatsächliche Wert zurückgegeben.

  13. Geben Sie im Feld Limit eine auf die Abfrage anzuwendende Einschränkung ein, wenn Daten aus einer Datenbank abgerufen werden. Wenn ein Ergebnissatz nach Ereignisanzahl, Paketanzahl oder Sitzungsgröße sortiert wird, repräsentiert der Grenzwert die obersten (oder untersten) wiederzugebenden n Werte. Wenn die Ergebnismenge nicht sortiert wird, werden die ersten n Werte wiedergegeben.
  14. Klicken Sie auf Speichern.

    Hinweis: Anders als analysierte Metadaten werden Rohdatenprotokolle von Decodern abgerufen. Wenn sowohl Rohdatenprotokolle als auch analysierte Metadaten in einer einzigen Regel abgefragt werden, können aufgrund unterschiedlicher Aufbewahrungsfristen in derselben Sitzung analysierte Metadaten verfügbar sein und Rohdatenprotokolle fehlen. Dadurch enthält das Ergebnis analysierte Metawerte und leere Rohwerte für diese Sitzungen. Beispielsweise könnten bei der Regel „Select ip.src, ip.dst, service, username, raw“ die analysierten Metadaten bereitgestellt werden und die unverarbeiteten Metadaten für einige Sitzungen leer bleiben.

Erstellen einer Regel mit einer Warehouse-Datenquelle

Sie können eine Regel erstellen, um Daten oder Ereignisse von einer Warehouse-Ereignisquelle abzurufen. Sie können Regeln in zwei Modi definieren:

  • Standardmodus
  • Expertenmodus

Standardmodus

Im Standardmodus können Sie Regeln erstellen, die einfaches SQL enthalten, z. B. HIVE-Abfragen mit Klauseln wie Select, Where, Group By und Having. Standardmäßig können Sie Regeln erstellen, um Sitzungen oder unverarbeitete Protokolle abzufragen. Weitere Informationen zur Syntax einfacher Abfragen sowie Beispiele finden Sie unter Warehouse-DB – Einfache Regelsyntax.

In der folgenden Abbildung sehen Sie ein Beispiel der Ansicht Regel erstellen, die angezeigt wird, wenn Sie Warehouse-DB für Regeltyp wählen, ohne dass der Expertenmodus ausgewählt ist.

Build Rule View with Warehouse DB Rule Type

Abfragen unverarbeiteter Protokolle

Das unverarbeitete Protokollformat wird in der Select- oder Where-Klausel verwendet, um unverarbeitete Protokolle abzufragen.

Hinweis: Der Zeitbereich, den Sie in Ihrer Abfrage angeben können, ist ein Tag (24 Stunden).  Wenn Sie in Ihrer Abfrage einen Zeitbereich unter einem Tag angegeben haben, enthält der Ergebnissatz Daten von mindestens einem Tag (24 Stunden).

In der folgenden Abbildung sehen Sie ein Beispiel der Ansicht Regel erstellen, die angezeigt wird, wenn Sie Warehouse-DB für Regeltyp wählen und eine Regel zur Abfrage unverarbeiteter Protokolle erstellen.

Warehouse DB Rule for Querying Raw Logs

Expertenmodus

Erweiterte Regeln werden mithilfe von komplexen HIVE-Abfragen definiert, die durch die Klauseln DROP, CREATE usw. erstellt werden. Im Gegensatz zu einfachen Regeln setzen wir die Ergebnisse immer in eine Tabelle ein. Weitere Informationen zur erweiterten HIVE-Abfragesprache finden Sie im HIVE-Sprachhandbuch.

In der folgenden Abbildung sehen Sie ein Beispiel der Ansicht Regel erstellen, die angezeigt wird, wenn Sie Warehouse-DB für Regeltyp wählen, während der Expertenmodus ausgewählt ist.

Warehouse DB Expert Mode

Wenn Sie einen Bericht für einen bestimmten Zeitraum erzeugen möchten, müssen Sie den Zeitraum in der Abfrage mithilfe der folgenden zwei Variablen manuell definieren:

  • ${report_starttime} - Der Startzeitpunkt des Zeitraums in Sekunden.
  • ${report_endtime} - Der Endzeitpunkt des Zeitraums in Sekunden.

Beispiel: SELECT col1, col2 FROM custom_table WHERE timecol >= ${report_starttime} AND timecol <= ${report_endtime};

Hinweis: Standardmäßig behandelt Reporting Engine ${keyword} als eine Variable. Wenn Sie HIVE-Variablen angeben möchten, müssen Sie die vollständige Syntax einer Variable angeben. Beispiel: ${hiveconf:hive.exec.scratchdir}.

Voraussetzungen

Stellen Sie sicher, dass Sie verstehen, wie benutzerdefinierte Metaschlüssel mithilfe des benutzerdefinierten Feeds erstellt werden. Weitere Informationen finden Sie unter „Erstellen benutzerdefinierter Metaschlüssel mithilfe benutzerdefinierter Feeds“ im Leitfaden zur Host- und Servicekonfiguration.

Um eine Regel zu erstellen, mit der Daten oder Ereignisse von einer Warehouse-Datenquelle abgerufen werden, führen Sie die folgenden Schritte aus:

  1. Wählen Sie Monitor > Berichte aus.

    Die Registerkarte „Managen“ wird angezeigt.

  2. Klicken Sie in der Symbolleiste „Regel“ auf Add button > Warehouse-DB.
    Die Ansicht „Regel erstellen“ wird angezeigt.
  3. Im Feld Regeltyp ist Warehouse-DB standardmäßig ausgewählt.

    Wenn Sie die Regel im Standardmodus definieren, gehen Sie wie folgt vor:

    1. Geben Sie in das Feld Name einen Namen ein, der zur Identifizierung oder Kennzeichnung der Regel in Warnmeldungen und Berichten dient.
    2. Geben Sie in das Feld Auswählen einen Metadatentyp ein oder wählen Sie den Metadatentyp aus der Drop-down-Liste aus oder wählen Sie einen Metadatentyp aus der Liste verfügbarer Metadatentypen im Bereich „Meta“ aus. Weitere Informationen finden Sie unter Bereich „Meta“ in der Ansicht „Regel erstellen“
    3. Wählen Sie im Drop-down-Menü Von eine der folgenden Optionen aus:

      • Sitzung
      • Protokolle
    4. Geben Sie im Feld Alias den Aliasnamen für die Spalten ein, die in der SELECT-Klausel verwendet werden.
    5. Geben Sie in das Feld Where Metadaten ein oder wählen Sie Metadaten aus der Liste verfügbarer Metadatentypen aus, die im Metadatenbereich bereitgestellt werden. Die Where-Klausel enthält die zugrunde liegenden Abfragekriterien für die Regel.
    6. Geben Sie in das Feld Gruppieren nach die in der Select-Klausel ausgewählten Metadaten ein, so dass die Ergebnismenge auf Basis der Metadaten gruppiert wird.
    7. Geben Sie im Feld Enthält die Kriterien zum Filtern des Ergebnissatzes für aggregierte Abfragen ein.
    8. Führen Sie im Feld Sortieren nach folgende Schritte aus:

      1. Geben Sie in die Spalte Spaltenname den Namen der Spalten ein, nach denen Sie die Ergebnisse gruppieren möchten.
      2. Wählen Sie in der Spalte Sortieren nach eine der folgenden Möglichkeiten aus, um die Ergebnisse zu sortieren:

        • Aufsteigende Reihenfolge 
        • Absteigende Reihenfolge
    9. Geben Sie im Feld Limit eine auf die Abfrage anzuwendende Einschränkung ein, wenn Daten aus einer Datenbank abgerufen werden. Wenn eine Ergebnismenge nach Sitzungsanzahl, Paketanzahl oder Sitzungsgröße sortiert wird, repräsentiert der Grenzwert die n obersten (oder untersten) wiederzugebenden Werte. Wenn die Ergebnismenge nicht sortiert wird, werden die ersten n Werte wiedergegeben.
    10. Klicken Sie auf Speichern.
  4. Wenn Sie die Regel im Expertenmodus definieren, aktivieren Sie das Kontrollkästchen Expertenmodus und gehen Sie wie folgt vor:

    1. Geben Sie in das Feld Name einen Namen ein, der zur Identifizierung oder Kennzeichnung der Regel in Warnmeldungen und Berichten dient.
    2. Geben Sie im Feld Abfrage die Hive-Abfrageanweisung zum Abfragen der Datenquelle ein.
    3. Geben Sie im Feld Alias den Aliasnamen für die Spalten ein, die in der SELECT-Klausel verwendet werden.
    4. Klicken Sie auf Speichern.

Erstellen einer Regel mit einer Respond-Datenquelle

Sie können eine Regel zum Abrufen von Incidents oder Warnmeldungen von einer Respond-Datenquelle erstellen.

Voraussetzungen

Stellen Sie sicher, dass Sie:

  • Stellen Sie sicher, dass der Reporting Engine-Service ausgeführt wird.
  • Der Incident-Management-Service ausgeführt wird. Weitere Informationen finden Sie unter „Konfigurieren einer Datenbank für den Respond Server-Service“ im Konfigurationsleitfaden für NetWitness Respond.
  • (Optional) Stellen Sie sicher, dass der Event Stream Analysis-Service ausgeführt wird. Weitere Informationen finden Sie unter „Schritt 2. Konfigurieren erweiterter Einstellungen für einen ESA-Service“ im ESA-Konfigurationsleitfaden.
  • (Optional) Stellen Sie sicher, dass der Malware Analysis-Service ausgeführt wird. Weitere Informationen finden Sie unter „(Optional) Konfigurieren des Auditing auf dem Malware Analysis-Host“ im Malware-Konfigurationsleitfaden.

Hinweis: Basierend auf den Anforderungen und dem Typ der Warnmeldungen oder Incidents, die Sie erzeugen möchten, müssen Sie einen der Services (Event Stream Analysis, Reporting Engine, Malware Analysis oder Endpoint) konfigurieren.

Um eine Regel zu erstellen, mit der Daten oder Ereignisse von einer Respond-Datenquelle abgerufen werden, führen Sie die folgenden Schritte aus:

  1. Wählen Sie Monitor > Berichte aus.

    Die Registerkarte „Managen“ wird angezeigt.

  2. Klicken Sie in der Symbolleiste „Regeln“ auf Add button > Reagieren.

    Die Registerkarte der Ansicht Regel erstellen wird angezeigt.

  3. Im Feld Regeltyp ist standardmäßig „Respond“ ausgewählt.
  4. Geben Sie im Feld Name einen Namen ein, der zur Identifizierung oder Kennzeichnung der Regel in Warnmeldungen und Incident-Berichten dient.
  5. Das Feld Zusammenfassen bestimmt den Typ der Zusammenfassung oder Aggregation für die Regel. Basierend auf dem Typ der zu definierenden Regel müssen Sie eines der Folgenden auswählen:
    • Zum Definieren einer Nichtaggregatregl ohne Gruppierung wählen Sie Ohne aus.
    • Zum Definieren einer Aggregatregel mit Metawerten und benutzerdefinierten Aggregatfunktionen wählen Sie Benutzerdefiniert aus.

      Durch Auswahl von „Benutzerdefiniert“ im Feld Zusammenfassen können Sie in der SELECT-Klausel basierend auf dem ausgewählten Berichttyp die Aggregatfunktion Ihrer Wahl definieren.

      Detaillierte Informationen zu Aggregat- und Nichtaggregatregeln finden Sie unter Regelsyntax .

  6. Im Feld Von wählen Sie basierend auf dem anzuzeigenden Berichtsergebnis eine der folgenden Optionen aus:
    • Warnmeldung
    • Incident
  7. Geben Sie in das Feld Auswählen Metadaten ein oder wählen Sie Metadaten aus der Liste verfügbarer Metadatentypen aus, die in der Metabibliothek bereitgestellt werden. Weitere Informationen finden Sie unter „Metabereich“ in der Ansicht „Regel erstellen“. Er kann im Feld Wo nicht verwendet werden. Für benutzerdefinierte Aggregatregeln werden im Feld Auswählen mehrere Aggregatfunktionen unterstützt.

    Unter anderem folgende Aggregatfunktionen werden für Warnmeldungen unterstützt:

    • alert_host_summary
    • alert.name
    • alert.numEvents
    • alert.severity
    • alert.source
    • alert.timestamp
    • incidentCreated
    • incidentId
    • receivedTime

    Unter anderem folgende Aggregatfunktionen werden für Incidents unterstützt:

    • categories
    • created
    • priority
    • riskScore
    • sealed
    • status

    Detaillierte Informationen zu Aggregat- und Nichtaggregatregeln finden Sie unter Regelsyntax .

  8. Geben Sie im Feld Alias den Aliasnamen für die Spalten ein, die in der SELECT-Klausel verwendet werden.
  9. Geben Sie im Feld Wo einen Metadatentyp ein oder wählen Sie einen aus der Liste der verfügbaren Metadatentyp aus. Erstellen Sie mithilfe der Operatoren die Where-Klausel für die zugrunde liegenden Abfragekriterien.
  10. Das Feld Gruppieren nach ist ein schreibgeschütztes Feld, das mit Metadaten gefüllt wird, die in der SELECT-Klausel definiert sind. Bei einer Nicht-Aggregatfunktion ist dieses Feld nicht sichtbar. Es werden maximal sechs Metawerte im Feld Gruppieren nach unterstützt.

  11. Führen Sie im Feld Sortieren nach folgende Schritte aus:

    1. Geben Sie in die Spalte Spaltenname den Namen der Spalten ein, nach denen Sie die Ergebnisse sortieren möchten. Standardmäßig ist der Wert leer.

    2. Wählen Sie in der Spalte Sortieren nach eine der folgenden Möglichkeiten aus, um die Ergebnisse zu sortieren:

      • Aufsteigende Reihenfolge
      • Absteigende Reihenfolge
  12. Geben Sie im Feld Grenzwert den Grenzwert ein, der für die Abfrage gelten soll, wenn Daten aus der Datenbank abgerufen werden. Wenn eine Ergebnismenge sortiert wird, repräsentiert der Grenzwert die n obersten (oder untersten) wiederzugebenden Werte. Wenn die Ergebnismenge nicht sortiert wird, werden die ersten n Werte wiedergegeben.
  13. Klicken Sie auf Speichern.

Bereitstellen einer Regel

In RSA NetWitness Suite können Sie die ausgewählten Regeln auf dem Service (z. B. Reporting Engine) mithilfe des Bereitstellungsassistenten bereitstellen.

Voraussetzungen

Achten Sie auf Folgendes:

  • Die Services, auf denen Sie eine Regel bereitstellen können, werden ausgeführt.
  • Der Live-Services ist konfiguriert.

Führen Sie zum Bereitstellen einer Regel die folgenden Schritte aus:

  1. Wählen Sie KONFIGURIEREN > LIVE-INHALT aus.
  2. Suchen Sie im Bereich Suchkriterien nach Live-Ressourcen (z. B. nach dem Ressourcentyp Anwendungsregel).
  3. Wählen Sie im Bereich Übereinstimmende Ressourcen die Optionen Ergebnisse anzeigen > Raster aus.

  4. Aktivieren Sie das Kontrollkästchen links neben den Regeln, die Sie bereitstellen möchten.

  5. Klicken Sie in der Symbolleiste Übereinstimmende Ressourcen auf Deploy button.

  6. Klicken Sie auf Weiter.
  7. Wählen Sie den Service aus, auf dem eine Regel (z. B. Reporting Engine) bereitgestellt werden soll, und klicken Sie auf Weiter.
  8. Klicken Sie auf Bereitstellen.
    Die Regel wurde erfolgreich bereitgestellt.

Verwenden von Meta-Aliasen für Reporting

Wenn Sie in Berichten und Diagrammen Bezug auf Metadaten nehmen, werden nur Aliase für die Metanamen angezeigt. Diese Aliase sorgen dafür, dass die Metadaten für eine größere Zielgruppe verständlich sind.

Sie können nur vordefinierte Aliase für die Metadaten verwenden und können diese Werte nicht verändern.

Für Metadaten in der WHERE-Klausel können Sie keine Aliaswerte angeben, da NetWitness Suite die WHERE-Klausel verwendet, um Daten aus der Datenquelle (z. B. im Concentrator) abzurufen, und Datenquellen keine Aliase unterstützen. Das bedeutet, dass Sie für den HTTP-Port 80 nicht den Aliaswert HTTP angeben können.

Hinweis: * Sie können Aliase nur für Metadaten angeben, die noch nicht in Reporting Engine mit einem Alias versehen worden sind. Außerdem kann das Format der Aliase nicht geändert werden.
          * Für Warnmeldungen und CSV-Berichte werden keine Aliase unterstützt.

So verwenden Sie Aliase in einer Regel:

  1. Wählen Sie Monitor > Berichte aus.
    Die Registerkarte „Managen“ wird angezeigt.
  2. Führen Sie im Bereich „Regelliste“ einen der folgenden Schritte aus:
  • Wählen Sie eine Regel aus und klicken Sie in der Symbolleiste „Regeln“ auf Edit button.
  • Klicken Sie auf Actions drop-down menu > Bearbeiten.
  1. Geben Sie im Feld Auswählen die Metadaten an, die einen Alias enthalten.

Im folgenden Beispiel sind die Metadaten eth.type, ip.proto, medium, service, tcp.dstport und tcp.srcport im Feld „Auswählen“ angegeben.
Example for eth.type, ip.proto, medium, service, tcp.dstport, and tcp.srcport meta aliases in the Select field

  1. Klicken Sie auf Regel testen.
    Im folgenden Beispiel werden die Ergebnisse in den Aliasspalten eth.type, ip.proto, medium, service, tcp.dstport und tcp.srcport angezeigt, die im Feld Auswählen der Regel angegeben sind.

     eth.type, ip.proto, medium, service, tcp.dstport, and tcp.srcport  meta aliases results

Von RSA bereitgestellte Aliasdefinitionen

Die Aliasdateien in diesem Abschnitt sind nur Beispiele und basieren auf den aktuellen Aliasdefinitionen in Reporting Engine. Diese Definitionen in der Reporting Engine können je nach den Änderungen in der Concentrator-XML-Datei nicht von NetWitness Suite geändert werden. da keine der Änderungen in der XML-Datei im Contractor in der Reporting Engine widergespiegelt werden.

Die Details zu den verschiedenen Metadaten werden in den einzelnen meta.aliases erläutert.

eth.type

ALIAS_FORMAT=$alias
0=802.3
257=Experimental
512=Xerox PUP
513=Xerox PUP
1024=Nixdorf
1536=Xerox NS IDP
1537=XNS Address Translation (3Mb only)
2048=IP
2049=X.75 Internet
2050=NBS Internet
2051=ECMA Internet
2052=CHAOSnet
2053=X.25 Level 3
2054=ARP
2055=XNS Compatibility
2076=Symbolics Private
2184=Xyplex
2304=Ungermann-Bass network debugger
2560=Xerox IEEE802.3 PUP
2561=Xerox IEEE802.3 PUP Address Translation
2989=Banyan Systems
2991=Banyon VINES Echo
4096=Berkeley Trailer negotiation
4097=Berkeley Trailer encapsulation for IP
4660=DCA - Multicast
5632=VALID system protocol
6537=Artificial Horizons
6549=Datapoint Corporation (RCL lan protocol)
15360=3Com NBP virtual circuit datagram (like XNS SPP) not registered
15361=3Com NBP System control datagram not registered
15362=3Com NBP Connect request (virtual cct) not registered
15363=3Com NBP Connect repsonse not registered
15364=3Com NBP Connect complete not registered
15365=3Com NBP Close request (virtual cct) not registered
15366=3Com NBP Close response not registered
15367=3Com NBP Datagram (like XNS IDP) not registered
15368=3Com NBP Datagram broadcast not registered
15369=3Com NBP Claim NetBIOS name not registered
15370=3Com NBP Delete Netbios name not registered
15371=3Com NBP Remote adaptor status request not registered
15372=3Com NBP Remote adaptor response not registered
15373=3Com NBP Reset not registered
16972=Information Modes Little Big LAN diagnostic
17185=THD - Diddle
19522=Information Modes Little Big LAN
21000=BBN Simnet Private
24576=DEC unassigned
24577=DEC Maintenance Operation Protocol (MOP) Dump/Load Assistance
24578=DEC Maintenance Operation Protocol (MOP) Remote Console
24579=DECNET Phase IV
24580=DEC Local Area Transport (LAT)
24581=DEC diagnostic protocol (at interface initialization?)
24582=DEC customer protocol
24583=DEC Local Area VAX Cluster (LAVC)
24584=DEC AMBER
24585=DEC MUMPS
24592=3Com Corporation
28672=Ungermann-Bass download
28673=Ungermann-Bass NIUs
28674=Ungermann-Bass diagnostic/loopback
28675=Ungermann-Bass ??? (NMC to/from UB Bridge)
28677=Ungermann-Bass Bridge Spanning Tree
28679=OS/9 Microware
28681=OS/9 Net?
28704=LRT (England) (now Sintrom)
28720=Racal-Interlan
28721=Prime NTS (Network Terminal Service)
28724=Cabletron
32771=Cronus VLN
32772=Cronus Direct
32773=HP Probe protocol
32774=Nestar
32776=AT&amp;T/Stanford Univ.
32784=Excelan
32787=Silicon Graphics diagnostic
32788=Silicon Graphics network games
32789=Silicon Graphics reserved
32790=Silicon Graphics XNS NameServer
32793=Apollo DOMAIN
32814=Tymshare
32815=Tigan
32821=Reverse Address Resolution Protocol (RARP)
32822=Aeonic Systems
32823=IPX (Novell Netware?)
32824=DEC LanBridge Management
32825=DEC DSM/DDP
32826=DEC Argonaut Console
32827=DEC VAXELN
32828=DEC DNS Naming Service
32829=DEC Ethernet CSMA/CD Encryption Protocol
32830=DEC Distributed Time Service
32831=DEC LAN Traffic Monitor Protocol
32832=DEC PATHWORKS DECnet NETBIOS Emulation
32833=DEC Local Area System Transport
32834=DEC unassigned
32836=Planning Research Corp.
32838=AT&amp;T
32839=AT&amp;T
32840=DEC Availability Manager for Distributed Systems DECamds
32841=ExperData
32859=VMTP
32860=Stanford V Kernel
32861=Evans &amp; Sutherland
32864=Little Machines
32866=Counterpoint Computers
32869=University of Mass. at Amherst
32870=University of Mass. at Amherst
32871=Veeco Integrated Automation
32872=General Dynamics
32873=AT&amp;T
32874=Autophon
32876=ComDesign
32877=Compugraphic Corporation
32878=Landmark Graphics Corporation
32890=Matra
32891=Dansk Data Elektronik
32892=Merit Internodal
32893=Vitalink Communications
32896=Vitalink TransLAN III Management
32897=Counterpoint Computers
32904=Xyplex
32923=EtherTalk - AppleTalk over Ethernet
32924=Datability
32927=Spider Systems Ltd.
32931=Nixdorf Computers
32932=Siemens Gammasonics Inc.
32960=DCA Data Exchange Cluster
32966=Pacer Software
32967=Applitek Corporation
32968=Intergraph Corporation
32973=Harris Corporation
32975=Taylor Instrument
32979=Rosemount Corporation
32981=IBM SNA Services over Ethernet
32989=Varian Associates
32990=TRFS (Integrated Solutions Transparent Remote File System)
32992=Allen-Bradley
32996=Datability
33010=Retix
33011=AppleTalk Address Resolution Protocol (AARP)
33012=Kinetics
33015=Apollo Computer
33023=Wellfleet Communications
33026=Wellfleet BOFL
33027=Wellfleet Communications
33031=Symbolics Private
33067=Talaris
33072=Waterloo Microsystems Inc.
33073=VG Laboratory Systems
33079=IPX
33080=Novell Inc
33081=KTI
33087=M/MUMPS data sharing
33093=Vrije Universiteit (NL)
33094=Vrije Universiteit (NL)
33095=Vrije Universiteit (NL)
33100=SNMP
33103=Technically Elite Concepts
33169=PowerLAN
33149=XTP
33238=Artisoft Lantastic
33239=Artisoft Lantastic
33283=QNX Software Systems Ltd.
33680=Accton Technologies (unregistered)
34091=Talaris multicast
34178=Kalpana
34525=IPv6
34617=Control Technology Inc.
34618=Control Technology Inc.
34619=Control Technology Inc.
34620=Control Technology Inc.
34848=Hitachi Cable (Optoelectronic Systems Laboratory)
34902=Axis Communications AB
34952=HP LanProbe test?
36864=Loopback (Configuration Test Protocol)
36865=3Com XNS Systems Management
36866=3Com TCP/IP Systems Management
36867=3Com loopback detection
43690=DECNET
64245=Sonix Arpeggio
65280=BBN VITAL-LanBridge cache wakeups
34915=PPPoe
34916=PPPoe
2056=Frame Relay ARP
16962=IEEE bridge spanning protocol
25944=Bridged Ethernet/802.3 packet
65278=ISO CLNP/ISO ES-IS DSAP/SSAP

ip.proto

ALIAS_FORMAT=$alias
0=HOPOPT
1=ICMP
2=IGMP
3=GGP
4=IP
5=ST
6=TCP
7=CBT
8=EGP
9=IGP
10=BBN-RCC-M
11=NVP-II
12=PUP
13=ARGUS
14=EMCON
15=XNET
16=CHAOS
17=UDP
18=MUX
19=DCN-MEAS
20=HMP
21=PRM
22=XNS-IDP
23=TRUNK-1
24=TRUNK-2
25=LEAF-1
26=LEAF-2
27=RDP
28=IRTP
29=ISO-TP4
30=NETBLT
31=MFE-NSP
32=MERIT-INP
33=SEP
34=3PC
35=IDPR
36=XTP
37=DDP
38=IDPR-CMTP
39=TP++
40=IL
41=IPv6
42=SDRP
43=IPv6-Rout
44=IPv6-Frag
45=IDRP
46=RSVP
47=GRE
48=MHRP
49=BNA
50=ESP
51=AH
52=I-NLSP
53=SWIPE
54=NARP
55=MOBILE
56=TLSP
57=SKIP
58=IPv6-ICMP
59=IPv6-NoNx
60=IPv6-Opts
61=AnyHost
62=CFTP
63=AnyNetwork
64=SAT-EXPAK
65=KRYPTOLAN
66=RVD
67=IPPC
68=AnyFile
69=SAT-MON
70=VISA
71=IPCV
72=CPNX
73=CPHB
74=WSN
75=PVP
76=BR-SAT-MO
77=SUN-ND
78=WB-MON
79=WB-EXPAK
80=ISO-IP
81=VMTP
82=SECURE-VM
83=VINES
84=TTP
85=NSFNET-IG
86=DGP
87=TCF
88=EIGRP
89=OSPFIGP
90=Sprite-RP
91=LARP
92=MTP
93=AX.25
94=IPIP
95=MICP
96=SCC-SP
97=ETHERIP
98=ENCAP
99=AnyPrivate
100=GMTP
101=IFMP
102=PNNI
103=PIM
104=ARIS
105=SCPS
106=QNX
107=A/N
108=IPComp
109=SNP
110=Compaq-Pe
111=IPX-in-IP
112=VRRP
113=PGM
114=AnyHop
115=L2TP
116=DDX
117=IATP
118=STP
119=SRP
120=UTI
121=SMP
122=SM
123=PTP
124=ISIS
125=FIRE
126=CRTP
127=CRUDP
128=SSCOPMCE
129=IPLT
130=SPS
131=PIPE Pr
132=SCTP St
133=FC Fi
134=RSVP-E2E-
255=Reserved

medium

ALIAS_FORMAT=$alias
1=Ethernet
2=Tokenring
3=FDDI
4=HDLC
5=NetWitness
6=802.11
7=802.11 Radio
8=802.11 AVS
9=802.11 PPI
10=802.11 PRISM
11=802.11 Management
12=802.11 Control
13=DLT Raw
32=Logs

service

ALIAS_FORMAT=$alias
0=OTHER
20=FTPD
21=FTP
22=SSH
23=TELNET
25=SMTP
53=DNS
67=DHCP
69=TFTP
80=HTTP
110=POP3
111=SUNRPC
119=NNTP
123=NTP
135=RPC
137=NETBIOS
139=SMB
143=IMAP
161=SNMP
179=BGP
443=SSL
502=MODBUS
520=RIP
1024=EXCHANGE
1080=SOCKS
1122=MSN IM
1344=ICAP
1352=NOTES
1433=TDS
1521=TNS
1533=SAMETIME
1719=H.323
1720=RTP
2000=SKINNY
2040=SOULSEEK
2049=NFS
3270=TN3270
3389=RDP
3700=DB2
5050=YAHOO IM
5060=SIP
5190=AOL IM
5222=Google Talk
5900=VNC
6346=GNUTELLA
6667=IRC
6801=Net2Phone
6881=BITTORRENT
8000=QQ
8002=YCHAT
8019=WEBMAIL
8082=FIX
20000=DNP3
1000000=KERNEL
1000001=USER
1000003=SYSTEM
1000004=AUTH
1000005=LOGGER
1000006=LPD
1000008=UUCP
1000009=SCHEDULE
1000010=SECURITY
1000013=AUDIT
1000014=ALERT
1000015=CLOCK

tcp.dstport

ALIAS_FORMAT=$value ($alias)
7=echo
9=discard
13=daytime
17=qotd
19=chargen
20=ftp-data
21=ftp
22=ssh
23=telnet
25=smtp
37=time
42=nameserver
43=nicname
53=domain
70=gopher
79=finger
80=http
88=kerberos
101=hostname
102=iso-tsap
107=rtelnet
109=pop2
110=pop3
111=sunrpc
113=auth
117=uucp-path
119=nntp
135=epmap
137=netbios-ns
139=netbios-ssn
143=imap
158=pcmail-srv
170=print-srv
179=bgp
194=irc
389=ldap
443=https
445=cifs
464=kpasswd
512=exec
513=login
514=cmd
515=printer
520=efs
526=tempo
530=courier
531=conference
532=netnews
540=uucp
543=klogin
544=kshell
556=remotefs
636=ldaps
749=kerberos-adm
993=imaps
995=pop3s
1109=kpop
1433=ms-sql-s
1434=ms-sql-m
1512=wins
1524=ingreslock
1723=pptp
2053=knetd
1122=msn im
1352=notes
1521=tns
1533=sametime
1718=h323
1720=rtp
1863=msn im
2049=nfs
3389=rdp
5050=yahoo im
5060=sip
5190=aim
6346=gnuetella
6667=irc
9001=tor
9030=tor
9535=man

tcp.srcport

ALIAS_FORMAT=$value ($alias)
7=echo
9=discard
13=daytime
17=qotd
19=chargen
20=ftp-data
21=ftp
22=ssh
23=telnet
25=smtp
37=time
42=nameserver
43=nicname
53=domain
70=gopher
79=finger
80=http
88=kerberos
101=hostname
102=iso-tsap
107=rtelnet
109=pop2
110=pop3
111=sunrpc
113=auth
117=uucp-path
119=nntp
135=epmap
137=netbios-ns
139=netbios-ssn
143=imap
158=pcmail-srv
170=print-srv
179=bgp
194=irc
389=ldap
443=https
445=cifs
464=kpasswd
512=exec
513=login
514=cmd
515=printer
520=efs
526=tempo
530=courier
531=conference
532=netnews
540=uucp
543=klogin
544=kshell
556=remotefs
636=ldaps
749=kerberos-adm
993=imaps
995=pop3s
1109=kpop
1433=ms-sql-s
1434=ms-sql-m
1512=wins
1524=ingreslock
1723=pptp
2053=knetd
1122=msn im
1352=notes
1521=tns
1533=sametime
1718=h323
1720=rtp
1863=msn im
2049=nfs
3389=rdp
5050=yahoo im
5060=sip
5190=aim
6346=gnuetella
6667=irc
9001=tor
9030=tor
9535=man

udp.dstport

ALIAS_FORMAT=$value ($alias)
7=echo
9=discard
13=daytime
17=qotd
19=chargen
37=time
39=rlp
42=nameserver
53=domain
67=bootps
68=bootpc
69=tftp
88=kerberos
111=sunrpc
123=ntp
135=epmap
137=netbios-ns
138=netbios-dgm
161=snmp
162=snmptrap
213=ipx
443=https
445=cifs
464=kpasswd
500=isakmp
512=biff
513=who
514=syslog
517=talk
518=ntalk
525=timed
533=netwall
550=new-rwho
560=rmonitor
561=monitor
749=kerberos-adm
1167=phone
1433=ms-sql-s
1434=ms-sql-m
1512=wins
1701=l2tp
1812=radiusauth
1813=radacct
2049=nfsd
2504=nlbs

Testen einer Regel

Sie können eine Regel basierend auf dem Zeitbereich und der ausgewählten Datenquelle testen.

Führen Sie zum Testen einer Regel die folgenden Schritte aus:

  1. Wählen Sie Monitor > Berichte aus.
    Die Registerkarte „Managen“ wird angezeigt.
  2. Führen Sie im Bereich „Regelliste“ einen der folgenden Schritte aus:
    • Wählen Sie eine Regel aus und klicken Sie in der Symbolleiste „Regeln“ auf Edit button.
    • Klicken Sie auf Actions drop-down menu > Bearbeiten.
      Die Registerkarte der Ansicht Regel erstellen wird angezeigt.
  3. Klicken Sie auf Regel testen.
    Die Ansicht „Regel testen“ wird angezeigt.
    Test Rule View

Hinweis: Wenn Sie auf Regel testen klicken, wird die Regel nicht gespeichert. Sie müssen in der Ansicht „Regel erstellen“ auf Speichern klicken, um die Regel zu speichern.

  1. Wählen Sie in der Drop-down-Liste Datenquelle eine Datenquelle aus.
    Wählen Sie eine für die definierte Regel geeignete Datenquelle aus.
  2. Wählen Sie in der Drop-down-Liste Format das Format aus, in dem das Ergebnis angezeigt werden soll.
  3. Wählen Sie in der Drop-down-Liste Zeitbereich eine der folgenden Optionen aus.
    • Vergangen: Hier können Sie eine Anzahl von Jahren, Tagen, Wochen, Monaten, Tagen oder Stunden angeben.
    • Bereich: Hier können Sie einen Datumsbereich und einen Zeitraum angeben.

Hinweis: Die in der Benutzeroberfläche (UI) angezeigte Uhrzeit und das angezeigte Datum hängen vom Zeitzonenprofil ab, das vom Benutzer ausgewählt wurde.

  1. X-Achse und Y-Achse werden zur Angabe der Metadaten verwendet, die in die Diagramme geplottet werden sollen.
    In X-Achse werden die Metadaten für die Regel „Gruppieren nach“ angezeigt. In Y-Achse werden die in der Regel verwendeten Aggregatfunktionen angezeigt.

Hinweis: „Sum“, „Count“, „Countdistinct“ und „Average“ sind die unterstützten Aggregatfunktionen für die Regel. Standardmäßig können Sie für benutzerdefinierte Regeln mit mehreren „Gruppieren nach“-Klauseln nur die ersten Metadaten in X-Achse auswählen.

  1. Klicken Sie auf Test ausführen, um die Regel auszuführen.
    Die Regeldaten (sofern vorhanden) für den ausgewählten Zeitbereich werden angezeigt.

Erstellen einer Liste oder Listengruppe

Um eine Liste zu erstellen, führen Sie die folgenden Schritte aus:

Listen können innerhalb einer Gruppe oder im Stammordner hinzugefügt werden.

  1. Wählen Sie Monitor > Berichte aus.
    Die Registerkarte „Managen“ wird angezeigt.
  2. Klicken Sie auf Listen.
    Die Listenansicht wird angezeigt.

    List View

  3. Klicken Sie in der Symbolleiste Liste auf Add button.
    Die Registerkarte „Ansicht „Liste aufbauen““ wird angezeigt.

    Build List View

  4. Geben Sie im Feld Name einen eindeutigen Namen für die Liste ein.
  5. Geben Sie im Feld Beschreibung eine Beschreibung für die Liste ein.
  6. Führen Sie im Feld Listenwerte einen der folgenden Schritte aus:
    • Klicken Sie auf Einfügen und geben Sie die Werte durch Kommas getrennt ein. Sie können eine Liste von Werten aus einer Datei oder anderen Listen einfügen.
    • Geben Sie die Werte in das Feld Wert ein.
  7. Wenn Sie möchten, dass zur Laufzeit direkt Anführungszeichen für die Werte eingefügt werden, wählen Sie Anführungszeichen werden für alle Werte eingefügt aus.
  8. Klicken Sie auf Speichern.

Um eine Listengruppe zu erstellen, führen Sie die folgenden Schritte aus:

  1. Wählen Sie Monitor > Berichte aus.
    Die Registerkarte „Managen“ wird angezeigt.
  2. Klicken Sie auf Listen.
    Die Listenansicht wird angezeigt.
    List View
  3. Gehen Sie folgendermaßen vor:
    • So erstellen Sie eine Listengruppe
      1. Klicken Sie im Bereich „Listengruppen“ auf Add button.
        Dem Bereich „Listengruppe“ wird eine neue Listengruppe hinzugefügt.
        List Group
      2. Geben Sie den Namen für die Listengruppe ein und drücken Sie die EINGABETASTE.
    • So erstellen Sie eine Listenuntergruppe:

      1. Wählen Sie im Bereich „Listengruppen“ die Listengruppe aus, der Sie eine Untergruppe hinzufügen möchten.
      2. Klicken Sie auf Add button.
        Der Listengruppe wird eine neue Listenuntergruppe hinzugefügt.
      3. Geben Sie den Namen für die Listenuntergruppe ein und drücken Sie die EINGABETASTE.
  
You are here
Table of Contents > Konfigurieren einer Regel

Attachments

    Outcomes