Il linguaggio di regole di Active Correlation Technology organizza le regole in blocchi di regole che fanno parte di una serie di regole.
La serie di regole contiene le regole, organizzate in blocchi di regole, da eseguire tramite l'engine dell'Active Correlation Technology. E' l'unità di esecuzione della regola. Ogni engine dell'Active Correlation Technology agisce solo su una serie di regole per volta.
Le regole contenute in una serie di regole vengono innescate dagli eventi inviati all'engine dell'Active Correlation Technology. Gli eventi vengono inoltrati in sequenza alle regole appropriate in base ai criteri di selezione evento e viene eseguita una regola per volta. Lo stesso evento può essere applicato e, quindi, attivato su più regole. Queste regole non sono necessariamente collegate, ma possono esserlo.
L'ordine dei blocchi di regole e delle regole all'interno della serie di regole determina come gli eventi fluttuano tramite la serie di regole.
Le variabili e le importazioni possono essere definite al livello di serie di regole per essere utilizzate nelle espressioni (il codice che contiene la logica personalizzata) per tutto l'ambito della serie di regole. L'importazione è un modo specifico del linguaggio di programmazione per accedere al codice esterno. Un programma di scrittura di regola può definire l'importazione di moduli esterni (come classi Java) da utilizzare nelle espressioni all'interno delle regole.
Il blocco di regole è l'unità organizzativa per raggruppare le regole in base alla funzione nei domini all'interno della serie di regole. Un dominio è la categoria a cui si applica un gruppo di regole in base alla loro funzione. Ad esempio, un dominio può rappresentare un'area geografica specifica, la disciplina di gestione IT (come il rilevamento della sicurezza o la correlazione di eventi di rete) o l'organizzazione aziendale (come un'azienda o una sua divisione).
I blocchi di regole possono contenere le regole e altri blocchi di regole. Poiché i blocchi di regole possono essere concatenati, è possibile costruire una gerarchia di regole. Ad esempio una serie di regole potrebbe contenere un blocco di regole per la correlazione degli eventi di rete e il blocco di regole per la correlazione degli eventi di rete potrebbe contenere altri due blocchi di regole: uno per la correlazione di livello 2 e uno per la correlazione IP.
Di conseguenza, una serie di regole fornisce le funzioni di correlazione eventi per una varietà di domini e un blocco di regole fornisce l'organizzazione per questi diversi domini che potrebbero necessitare dell'accesso ad una serie simile di eventi.
Le variabili e le importazioni possono essere definite al livello di blocco di regole per essere utilizzate nelle espressioni per tutto l'ambito del blocco di regole. L'ambito di un blocco di regole include le regole e altri blocchi di regole contenuti in un blocco di regole.
Ogni regola può fornire le funzioni di correlazione eventi in base al proprio schema e le regole possono essere concatenate tramite l'inoltro eventi. Tramite questa concatenazione di regole, le funzioni di correlazione eventi di schemi diversi possono essere combinate o concatenate.
Le variabili possono essere definite al livello di regola per essere utilizzate nelle espressioni per tutto l'ambito della regola.
In definitiva, la serie di regole è l'unità di esecuzione, il blocco di regole è l'unità organizzativa e la regola è l'unità di correlazione. Una serie di regole contiene uno o più blocchi di regole, ognuno dei quali può contenere ulteriori blocchi di regole. Ognuno dei blocchi di regole contiene le regole per un dominio specifico. I blocchi di regole possono essere concatenati per costruire una gerarchia di regole. L'ordine dei blocchi di regole e delle regole all'interno della serie di regole determina come gli eventi fluttuano tramite la serie di regole.
Le variabili e le importazioni possono essere definite al livello di serie di regole per essere utilizzate nelle espressioni all'interno delle regole. L'ambito della variabile o dell'importazione è la rispettiva serie o blocco di regole. Le variabili possono anche essere definite al livello di regola, ma ciò limita l'ambito a una sola regola.