Organização de Regras

A linguagem de regras da Tecnologia ACT organiza as regras em blocos que compõem um conjunto de regras.

Conjunto de regras

O conjunto de regras contém as regras, organizadas em blocos de regras, a serem executadas por um mecanismo da Tecnologia ACT. É a unidade de execução da regra. Cada mecanismo da Tecnologia ACT age em apenas um conjunto de regras de cada vez.

As regras contidas em um conjunto de regras são acionadas por eventos que são enviados para o mecanismo da Tecnologia ACT. Os eventos são entregues em seqüência para as regras apropriadas com base nos critérios de seleção de eventos de cada regra e é executada uma regra de cada vez. O mesmo evento pode ser aplicado e, portanto, acionar, várias regras. Essas regras não estão necessariamente relacionadas, mas poderiam estar.

A ordem dos blocos de regras e das regras em um conjunto de regras determina como os eventos fluirão pelo conjunto de regras.

As variáveis e as importações poderão ser definidas no nível do conjunto de regras para uso em expressões (código que contém lógica personalizada) no escopo do conjunto de regras. Uma importação é uma maneira específica da linguagem de programação acessar código externo. Um autor de regras pode definir a importação de módulos externos (por exemplo, classes Java) para serem utilizados nas expressões dentro das regras.

Bloco de regra

O bloco de regra é a organizational unit para agrupamento de regras por função em domínios no conjunto de regras. Um domínio é a categoria à qual um grupo de regras é aplicado com base em sua função. Por exemplo, um domínio pode representar uma área geográfica específica, a disciplina de gerenciamento de TI (como detecção de segurança ou correlação de eventos da rede) ou a organização de negócios (como uma empresa específica ou uma divisão com uma empresa).

Os blocos de regras podem conter regras e outros blocos de regras. Como os blocos de regras podem ser aninhados, é possível construir uma hierarquia de regras. Por exemplo, um conjunto de regras pode conter um bloco de regra para correlação de eventos da rede e o bloco de regra para correlação de eventos da rede pode conter dois outros blocos de regras: um para a correlação da camada 2 e outro para a correlação de IP.

Portanto, um conjunto de regras fornece recursos de correlação de eventos para uma variedade de domínios e um bloco de regra fornece a organização para esses domínios diferentes que podem precisar de acesso a um conjunto semelhante de eventos.

As variáveis e as importações podem ser definidas no nível do bloco de regra para uso em expressões no escopo do bloco de regra. O escopo de um bloco de regra inclui quaisquer regras e outros blocos de regras contidos no bloco de regra.

Regra

A regra é a unidade de correlação utilizada para reconhecer relacionamentos entre os eventos e para executar as respostas apropriadas da regra. Uma regra é uma implementação de um dos sete padrões de regras a seguir e é organizada, de acordo com sua função, em um bloco de regra que faz parte de um conjunto de regras:
  • padrão de coleta
  • padrão de computação
  • padrão de duplicata
  • padrão de filtragem
  • padrão de seqüência
  • padrão de limite
  • padrão de cronômetro

Cada regra pode fornecer recursos exclusivos de correlação de eventos de acordo com seu padrão e as regras podem ser encadeadas por meio do redirecionamento de eventos. Esse encadeamento de regras permite combinar ou aninhar os recursos de correlação de eventos de diferentes padrões.

As variáveis podem ser definidas no nível de regra para uso em expressões no escopo da regra.

Resumo

Resumindo, o conjunto de regras é a unidade de execução, o bloco de regra é a organizational unit e a regra é a unidade de correlação. Um conjunto de regras contém um ou mais blocos de regras, cada uma das quais pode conter blocos de regras adicionais. Cada um dos blocos de regras contém regras para um domínio específico. Os blocos de regras podem ser aninhados para construir uma hierarquia de regras. A ordem dos blocos de regras e das regras em um conjunto de regras determina como os eventos fluirão pelo conjunto de regras.

As variáveis e as importações podem ser definidas no nível do conjunto de regras ou do bloco de regra para uso em expressões nas regras. O escopo da variável ou da importação é o conjunto de regras ou o bloco de regra respectivo. As variáveis também podem ser definidas no nível da regra, mas isso limita seu escopo apenas à regra.