Table des Matières
Publicité
Avant de commencer
Pour créer une nouvelle règle de détection des anomalies, vous devez respecter les
exigences suivantes :
v Disposer du droit Maintain Custom Rules.
v Effectuer une recherche groupée.
Les options de détection des anomalies s'affichent après la réalisation d'une
recherche groupée et l'enregistrement des critères de recherche.
Pourquoi et quand exécuter cette tâche
Vous devez disposer des droits d'utilisation appropriés pour créer une règle de
détection des anomalies.
Pour créer des règles de détection des anomalies dans l'onglet Log Activity, vous
devez disposer des droits d'utilisation Log Activity Maintain Custom Rules.
Pour créer des règles de détection des anomalies dans l'onglet Network Activity,
vous devez disposer des droits d'utilisation Network Maintain Custom Rules.
Les règles de détection des anomalies utilisent tous les critères de regroupement et
de filtrage des critères de recherche enregistrés sur lesquels la règle est basée, mais
elles n'utilisent pas les intervalles des critères de recherche.
Lorsque vous créez une règle de détection des anomalies, la règle est remplie par
une pile de tests par défaut. Vous pouvez modifier les tests par défaut ou ajouter
des tests à la pile de tests. Au moins un des tests Accumulated Property doit être
inclus dans la pile de tests.
L'option Test the [Selected Accumulated Property] value of each [group]
separately est sélectionnée par défaut sur la page Rule Test Stack Editor.
Une règle de détection des anomalies teste alors la propriété cumulée sélectionnée
pour chaque groupe d'événements ou de flux. Par exemple, si la valeur cumulée
sélectionnée est UniqueCount(sourceIP), la règle teste chaque adresse IP source
unique pour chaque groupe d'événements ou de flux.
Cette option Test the [Selected Accumulated Property] value of each [group]
separately est dynamique. La valeur [Selected Accumulated Property] dépend de
l'option sélectionnée dans la zone this accumulated property test de la pile de tests
par défaut. La valeur [group] dépend des options de regroupement spécifiées dans
les critères de recherche enregistrés. Si plusieurs options de regroupement sont
incluses, le texte peut être tronqué. Placez le pointeur de votre souris sur le texte
pour afficher tous les groupes.
Procédure
1. Cliquez sur l'onglet Log Activity ou Network Activity.
2. Effectuez une recherche.
3. Dans le menu Rules, sélectionnez le type de règle que vous souhaitez créer.
Les options incluent :
v Add Anomaly Rule
v Add Threshold Rule
v Add Behavioral Rule
Chapitre 9. Gestion des règles
153
Publicité
Table des Matières
