AdministrationshandbuchZuordnen und analysierenErstellen von Datenzuordnungsdateien › Festlegen direkter Zuordnungen

Vorheriges Thema: Bereitstellen von Beispielereignissen

Nächstes Thema: Festlegen von Funktionszuordnungen

Festlegen direkter Zuordnungen

Mit direkten Zuordnungen wird eine Eins-zu-Eins-Übereinstimmung zwischen dem Wert eines nativen Ereignisses und dem eines verfeinerten Ereignisses festgelegt. Daher bieten sich direkte Zuordnungen nur für Standardwerte oder gemeinsame Werte an, die selten geändert werden. Ein Beispiel ist das Feld "ideal_model".

Mit Hilfe von Zuordnungen lassen sich verfeinerte Ereigniswerte wie folgt abrufen:

Textwert

Entspricht dem Text in einem bestimmten CEG-Feld. Der Wert wird immer dann angezeigt, wenn ein entsprechendes Ereignis zugeordnet wird. Beispiel: Wird das CEG-Feld "ideal_model" auf "Firewall" gesetzt, wird für alle Regeln, die diese Zuordnung enthalten, der Wert "Firewall" angezeigt.

Feldwert

Der Wert im Feld eines Rohereignisses, dessen Inhalt Teil eines bestimmten CEG-Feldes oder analysierten Feldes ist. Feldwerte unterscheiden sich von Textwerten dadurch, dass vor dem Wert ein Dollarzeichen ($) steht. Wird beispielsweise das CEG-Feld "event_logname" auf "$Log" gesetzt, wird bei jeder Ereigniszuordnung genau der Text angezeigt, der im Protokollfeld des nativen Ereignisses steht.

So legen Sie direkte Zuordnungen fest:

  1. Öffnen Sie den Assistenten für Zuordnungsdateien, geben Sie für die Zuordnungsdatei einen Namen ein, und wählen Sie einen Protokollnamen aus. Fahren Sie dann mit dem Schritt für direkte Zuordnungen fort.

    Das Fenster "Direkte Zuordnungen" wird mit den aktuellen Zuordnungen oder den Standardzuordnungen aufgerufen. In der Spalte "Name" steht der Name des CEG-Feldes oder des analysierten Feldes. Die Spalte "Wert" enthält entweder einen Text- oder einen Feldwert.

    Hinweis: Wählen Sie im Schritt zur Bereitstellung von Beispielereignissen eine Analysedatei aus, damit analysierte Feldwerte angezeigt werden.

  2. Um am Ende der Tabelle eine neue Zuordnung einzufügen, klicken Sie auf "Direkte Zuordnung hinzufügen". Wählen Sie diese danach aus, oder bearbeiten Sie eine bestehende direkte Zuordnung.

    Die direkten Zuordnungen des Feldes (wenn vorhanden) werden unter den Zuordnungsdetails angezeigt.

  3. Wählen Sie im Dropdown-Menü "Feld" ein CEG-Feld oder, wenn vorhanden, ein analysiertes Ereignisfeld für die Zuordnung aus. Wenn Sie mit der Eingabe beginnen, wird die Liste der verfügbaren CEG-Felder von der Funktion zum automatischen Ausfüllen weiter eingeschränkt.
  4. Geben Sie im Feld "Wert hinzufügen" einen neuen Wert ein, und klicken Sie daneben auf "Direkte Zuordnung hinzufügen". Zur Kennzeichnung von Feldwerten setzen Sie ein Dollarzeichen ($) vor den Wert.

    Der Wert wird im Bereich "Ausgewählte Felder" angezeigt.

  5. (Optional) Sie können mehrere direkte Zuordnungen für ein Feld eingeben und die Reihenfolge, in der diese in der Datenzuordnungsdatei berücksichtigt werden, mit Hilfe der Pfeilschaltflächen festlegen. Die von der DM-Datei zuletzt gefundene direkte Zuordnung wird im verfeinerten Ereignis ausgegeben.

    Hinweis: Je mehr Werte Sie hinzufügen, desto schlechter funktioniert die Zuordnung. Daher sollte dies nur in Ausnahmefällen erfolgen.

  6. (Optional) Über die Wechselsteuerung können Sie nicht benötigte Werte in den Bereich "Verfügbare Felder" verschieben. So können Sie verhindern, dass sie bei der aktuellen Zuordnung berücksichtigt werden.
  7. Nachdem Sie alle direkten Zuordnungen hinzugefügt haben, klicken Sie auf den Pfeil, der Sie zu dem Schritt im Assistenten führt, mit dem Sie fortfahren möchten, oder klicken Sie auf "Speichern und schließen".

Wenn Sie auf "Speichern und schließen" klicken, erscheint die neue Datei im Ordner "Zuordnungsdateibenutzer", andernfalls wird der ausgewählte Schritt angezeigt.