自定义规则

什么是自定义规则？

自定义默认规则以检测网络中的异常活动。

规则类型

每种事件、流、常见和违规规则类型都会针对来自不同源的传入数据进行实时测试。有多种类型的规则测试。有些人从数据集中检查简单属性。其他规则测试则更为复杂。它们在一段时间内跟踪多个事件、流程和进攻序列，并在触发规则响应之前使用一个或多个参数上的“计数器”。

• 事件规则 - 针对由 JSA 事件处理器实时处理的传入日志源数据进行测试。您可以创建事件规则来检测单个事件或事件序列。例如，要监控网络中的登录尝试失败、访问多个主机或侦测事件后出现漏洞利用，请创建事件规则。事件规则通常会创建冒犯作为响应。

• 流规则 - 针对 JSA 流处理器处理的传入流数据进行测试。您可以创建流规则来检测单个流或流序列。流规则通常会创建冒犯作为响应。

• 通用规则 - 针对事件和流数据进行测试。例如，您可以创建通用规则来检测具有特定源 IP 地址的事件和流。常见规则通常会创建冒犯作为响应。

• 进攻规则 - 测试进攻参数以触发更多响应。例如，当在特定日期和时间发生冒犯时，会生成响应。仅当对攻击进行更改时，违规规则才会处理违规。例如，当添加新事件时，或者系统安排了重新评估的违规行为。违规规则通常会通过电子邮件发送通知作为响应。

管理规则

您可以创建、编辑规则、将规则分配给组以及删除规则组。通过将规则或构建基块分组，您可以高效地查看和跟踪规则。例如，您可以查看与合规性相关的所有规则。

域特定规则

如果规则具有域测试，则可以限制该规则，使其仅应用于指定域中发生的事件。如果事件的域标记与所设置的域不同，则规则不会触发响应。

若要创建测试整个系统中的条件的规则，请将域条件设置为 “任何域”。

规则条件

大多数规则测试评估单个条件，例如引用数据收集中是否存在元素或针对事件的属性测试值。对于复杂的比较，您可以通过使用 WHERE 子句条件构建 Ariel 查询语言 （AQL） 查询来测试事件规则。您可以使用所有 WHERE 子句函数来编写复杂的条件，这些条件无需运行大量单独的测试。例如，使用 AQL WHERE 子句检查是否正在引用集上跟踪入站 SSL 或 Web 流量。

您可以对事件、流或攻击的属性（如源 IP 地址、事件严重性或速率分析）运行测试。

借助函数，您可以使用构建基块和其他规则来创建多事件 、多流 或多进攻函数。可以使用支持布尔运算符的函数（如 OR 和 AND）连接规则。例如，如果要连接事件规则，则可以在 事件匹配时使用以下任何|所有规则 函数。