ESM: Formular „Ereignisquellengruppe erstellen“

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Das Formular „Ereignisquellengruppe erstellen“ wird angezeigt, wenn Sie eine Ereignisquellengruppe erstellen oder bearbeiten.

Parameter

In der folgenden Tabelle werden die Felder im Formular zum Erstellen/Bearbeiten einer Ereignisgruppe beschrieben.

                             
FeldBeschreibung
Gruppenname

Dieses Feld ist erforderlich und wird in der NetWitness Suite-Benutzeroberfläche als Kennung der Gruppe verwendet.

Beschreibung

Eine optionale Beschreibung hilft, den Zweck oder Details zur Gruppe zu umreißen.

Tools

esm_grpRules.png

Folgende Optionen sind in der Symbolleiste verfügbar:

  • Hinzufügen (+): Durch Klicken auf Hinzufügen wird ein Menü angezeigt, in dem Sie eine Bedingung oder eine Gruppe hinzufügen können.
  • Entfernen (-): entfernt die ausgewählte Regel oder Gruppe aus der Liste.

Wenn Sie eine neue Gruppe hinzufügen, werden dadurch verschachtelte Bedingungsebene erstellt.

Bedingungen

Eine Beschreibung finden Sie unten in der Tabelle Regelkriterien.

Abbrechen/Speichern

Die Optionen Abbrechen und Speichern sind im Formular verfügbar.

Regelkriterien

Die von Ihnen angegebenen Regeln bestimmen die Ereignisquellen, die in diese Ereignisquellengruppe aufgenommen werden. Eine Regel besteht aus folgenden Elementen:

  • Gruppierung: wie die Regel mit anderen Regeln interagiert
  • Attribut: welches Attribut die Regel abgleicht
  • Operator: wie die Regel das Attribut abgleicht
  • Wert: der für die Regel verwendete Attributwert

In der folgenden Tabelle finden Sie Details zu diesen Regelbausteinen.

                         
RegelbausteinDetails
Gruppierung

Sie können Bedingungen gruppieren, um komplexe Regeln für eine Ereignisquellengruppe zu erstellen. Die folgenden Wahlmöglichkeiten haben Sie bei der Gruppierung von Regeln:

  • Alle diese: logisches Äquivalent zu UND
  • Beliebige von diesen: logisches Äquivalent zu ODER
  • Nichts davon: logisches Äquivalent zu NICHT

Wenn Sie eine einfache Gruppe erstellen und eine einzige Bedingung angeben, können Sie den Standardwert (Alle diese) ausgewählt lassen.

Attribut

Dies enthält eine Drop-down-Liste bestehend aus allen Ereignisquellenattributen. Die Attribute werden nach dem Abschnitt angezeigt, zu dem sie gehören. Beispiel: Zuerst werden alle Attribute zu Identifikation angezeigt, gefolgt von den Attributen zu Eigenschaften, Wichtigkeit usw.

Operator

Wählen Sie eine der folgenden Optionen aus:

  • Gleich: stimmt mit dem bereitgestellten Wert überein.

  • Nicht gleich: gibt Ereignisquellen zurück, deren angegebenes Attribut nicht dem bereitgestellten Wert entspricht.

  • In: Sie stellen eine Liste mit Werten im kommagetrennten Format bereit. Ereignisquellen, die einem dieser Werte entsprechen, werden eingeschlossen. Beispiel:

    Where IP in 10.25.50.146, 10.25.50.248

    Diese Bedingung gibt Ereignisquellen zurück, die als IP-Attribut 10.25.50.146 or 10.25.50.248 haben.

  • Nicht in: ähnlich In, es werden aber Elemente ausgegeben, deren Attribut keinem der Listenwerte entspricht.

  • Wie: gibt Elemente aus, die mit der angegebenen Zeichenfolge beginnen. Beispiel:

    Where Event Source Type Like Apache

    Diese Bedingung gibt Ereignisquellen zurück, deren Ereignisquellentyp mit Apache beginnt.

  • Nicht wie: ähnlich Wie, außer das Elemente zurückgegeben werden, deren Attribut nicht mit der angegebenen Zeichenfolge beginnt.

  • Größer als: Gibt Elemente zurück, deren Attribut größer als der angegebene Wert ist. Beispiel: Wenn Sie Priorität größer als 5 angeben, gibt die Bedingung alle Elemente mit einer Priorität von 6 oder höher zurück.

  • Kleiner als: ähnlich Größer als. Gibt Elemente zurück, deren Attribut kleiner als der angegebene Wert ist.

Wert

Geben Sie einen Wert oder eine Gruppe von Werten an. Der Typ des Werts ist abhängig von dem Attribut für die Bedingung. Beispiel: Bei IPv6 müssen Sie einen Wert im IPv6-Format.

You are here
Table of Contents > Managen von Ereignisquellengruppen > ESM: Formular „Ereignisquellengruppe erstellen“

Attachments

    Outcomes