Règle de violation
Une règle de violation traite les violations uniquement lorsque des modifications
sont apportées à une violation, notamment lorsque de nouveaux événements sont
ajoutés ou quand le système planifie la violation en vue d'une réévaluation. Il est
fréquent que les règles de la violation envoient une notification par e-mail comme
une réponse.
Conditions de règles
Chaque règle peut contenir des fonctions, des blocs de construction ou des tests.
Avec des fonctions, vous pouvez utiliser des blocs de construction et d'autres
règles pour créer les fonctions suivantes : multi-événement, multi flux ou
multi-violation. Vous pouvez relier les règles à l'aide des fonctions qui prennent en
charge les opérateurs booléens comme OR et AND. Par exemple, si vous souhaitez
connecter les règles d'événements, vous pouvez les utiliser lorsqu'un événement
correspond à l'une ou à l'ensemble des fonctions de règles suivantes.
Un bloc fonctionnel correspond à une règle sans réponse et est utilisé comme
variable commune à plusieurs règles ou pour construire des règles ou des logiques
complexes que vous souhaitez utiliser dans d'autres règles. Vous pouvez
enregistrer un groupe de tests en tant que blocs de construction pour une
utilisation avec d'autres fonctions. Les blocs de construction vous permettront de
réutiliser des tests de règle spécifiques dans d'autres règles. Par exemple, vous
pouvez enregistrer un bloc de construction qui comprend les adresses IP de tous
les serveurs de messagerie de votre réseau, puis utiliser ce bloc de construction
pour exclure les serveurs de messagerie d'une autre règle. Les blocs de
construction par défaut sont fournis à titre indicatif, qui devraient être revus et
modifiés en fonction des besoins de votre réseau.
Pour obtenir une liste complète des blocs de construction, voir IBM Security QRadar
SIEM Administration Guide.
Vous pouvez exécuter des tests sur la propriété d'un événement, d'un flux ou
d'une violation, tels que l'adresse IP source, la gravité de l'événement ou l'analyse
de taux.
Réponses à la règle
Lorsque les conditions de règles sont respectées, une règle peut générer une ou
plusieurs réponses.
Les règles peuvent générer une ou plusieurs des réponses suivantes :
v Création d'une violation.
v Envoi d'un courrier électronique.
v Génération de notifications de système au moyen de la fonction Dashboard.
v Ajout de données aux ensembles de référence.
v Ajout de données aux collectes de données de référence.
v Génération d'une réponse à un système externe.
v Ajout de données aux collectes de données de référence pouvant être utilisées
dans les tests de règle.
Chapitre 9. Gestion des règles
149