Anatomia de uma Regra

As partes mais básicas de uma regra são a seleção de evento, a chave de agrupamento, o espaço de tempo para regras com preservação de estado, a resposta da regra, o intervalo de ativação e as ações do ciclo de vida. Uma regra também inclui expressões e variáveis. Uma expressão é código que contém lógica personalizada que pode ser incluída em uma regra.

Seleção de evento

Os critérios de seleção de evento determinam quais eventos são aceitos para processamento pela regra. O elemento <eventSelector> define os critérios de seleção de evento para uma regra. A seleção de evento aplica-se a todas as regras, exceto àquelas definidas pelo padrão de cronômetro. Como a regra do cronômetro não processa eventos, ela não contém critérios de seleção de eventos.

Chave de Agrupamento

Normalmente, cada regra ativa possui uma instância de regra, ou cópia, em execução no mecanismo da Tecnologia ACT. No entanto, às vezes, a mesma regra é necessária para grupos diferentes de eventos, relacionados, com freqüência, a diferentes grupos de recursos. A chave de agrupamento é um método para direcionar uma regra para criar uma instância de regra separada (ou uma cópia de si mesma) para cada grupo de eventos que compartilham características comuns.

A chave de agrupamento serve como forma adicional de seleção de evento. Se uma regra for definida com uma chave de agrupamento e receber um evento com a característica definida pela chave de agrupamento, o evento será enviado para a instância de regra que estiver processando os eventos que compartilham essa característica. Por exemplo, é possível definir uma regra que colete todos os eventos de segurança do tipo Falha na Auditoria e definir a chave de agrupamento para ser o atributo de nome do host de um evento. Agora, a regra pode ser utilizada várias vezes com uma cópia separada da regra executada para cada valor exclusivo do atributo de nome do host. Também é possível monitorar todos os sistemas que recebem o evento Falha na Auditoria para determinar se mais de 10 desses eventos ocorrem em um período de tempo de 2 minutos para cada nome do host.

O elemento <groupingKey> define a chave de agrupamento de uma regra e é válido para regras definidas pelos padrões de coleta, de computação, de duplicata, de seqüência e de limite.

Espaço de tempo para regras com preservação de estado

Como as regras com preservação de estado correlacionam vários eventos que ocorrem durante um período de tempo específico, uma parte básica de uma regra com preservação de estado é o espaço de tempo, definido pelo elemento <timeWindow>. O espaço de tempo especifica o período de tempo durante o qual a regra com preservação de estado está sendo processada para corresponder a seu padrão.

Resposta da regra

As ações da resposta da regra definem as ações a serem executadas quando a regra conclui seu processamento. Cada um dos seguintes elementos de linguagem define um tipo diferente de ação da resposta da regra:
  • <action> em <onDetection>
  • <action> em <onNextEvent>
  • <action> em <onTimeOut>
  • <action> em <onTimeWindowComplete>
Os tipos de ações da resposta da regra disponíveis para uma regra dependem do padrão da regra.

Intervalo de ativação

O intervalo de ativação define quando uma regra está ativa e inativa. O elemento <activationInterval> define o intervalo de ativação de uma regra.

Uma regra pode ser ativada ou desativada em um momento exato distinto ou por um evento específico.

Se você especificar que uma regra deve ser ativada ou desativada em um momento exato distinto e por um evento específico, a regra será ativada ou desativada, o que ocorrer primeiro, o momento exato ou o recebimento do evento. No entanto, nesse caso, a regra poderá ser ativada ou desativada por vários eventos durante seu ciclo de vida. Por exemplo, uma regra pode ser ativada por um evento, desativada, ativada em um momento exato definido, desativada novamente e ativada por outro evento.

O elemento <activationByGroupingKey> é um que está contido no elemento <activationInterval>. O elemento <activationByGroupingKey> contém elementos que especificam os eventos que podem ativar e desativar uma instância de regra definida pelo elemento <groupingKey>.

Ações do ciclo de vida

As ações do ciclo de vida definem as ações a serem executadas nos quatro estágios primários a seguir no ciclo de vida de uma regra: carregamento, ativação, desativação e descarregamento.

O elemento <lifeCycleActions> contém os seguintes elementos que definem essas ações:
  • <action> em <onLoad>
  • <action> em <onActivation>
  • <action> em <onDeactivation>
  • <action> em <onUnload>