Die grundlegendsten Teile einer Regel sind die Ereignisauswahl, der Gruppierungsschlüssel, das Zeitfenster für statusabhängige Regeln, die Regelantwort, das Aktivierungsintervall und die Lebenszyklusaktionen. Eine Regel enthält auch Ausdrücke und Variablen. Ein Ausdruck ist Code, der eine angepasste Logik enthält, die einer Regel hinzugefügt werden kann.
Ereignisauswahlkriterien bestimmen, welche Ereignisse für die Verarbeitung durch die Regel akzeptiert werden. Das Element <eventSelector> definiert die Ereignisauswahlkriterien für eine Regel. Die Ereignisauswahl gilt für alle Regeln, mit Ausnahme der Regeln, die durch das Zeitgebermuster definiert werden. Da die Zeitgeberregel keine Ereignisse verarbeitet, enthält sie keine Ereignisauswahlkriterien.
Normalerweise verfügt jede aktive Regel über eine Regelinstanz (oder Kopie), die in der ACT-Engine ausgeführt wird. Manchmal ist allerdings dieselbe Regel für verschiedene Ereignisgruppen erforderlich, die oft zu verschiedenen Ressourcengruppen gehören. Der Gruppierungsschlüssel ist eine Methode, eine Regel anzuweisen, eine separate Regelinstanz (oder eine Kopie von sich selbst) für jede Gruppe von Ereignissen zu erstellen, die allgemeine Merkmale gemeinsam verwenden.
Der Gruppierungsschlüssel dient als zusätzliche Form der Ereignisauswahl. Wenn eine Regel mit einem Gruppierungsschlüssel definiert wird und wenn die Regel ein Ereignis mit dem Merkmal empfängt, das vom Gruppierungsschlüssel definiert wird, wird das Ereignis an die Regelinstanz gesendet, die die Ereignisse verarbeitet, die dieses Merkmal gemeinsam verwenden. Sie können beispielsweise eine Regel definieren, die alle sicherheitsrelevanten Ereignisse des Typs Audit Failure erfasst, und den Gruppierungsschlüssel als Hostnamensattribut eines Ereignisses definieren. Die Regel kann nun mehrmals verwendet werden, wobei eine separate Kopie der Regel für jeden eindeutigen Wert des Hostnamensattributs ausgeführt wird. Sie können außerdem alle Systeme überwachen, die das Ereignis Audit Failure empfangen, um festzustellen, ob mehr als 10 solcher Ereignisse in einem Zeitraum von 2 Minuten für die einzelnen Hostnamen auftreten.
Das Element <groupingKey> definiert den Gruppierungsschlüssel für eine Regel, und es gilt für die Regeln, die von den Erfassungs-, Berechnungs-, Duplikat-, Sequenz- und Schwellenwertmustern definiert werden.
Da statusabhängige Regeln mehrere Ereignisse korrelieren, die während eines bestimmten Zeitraums auftreten, ist ein grundlegender Teil einer statusabhängigen Regel das Zeitfenster, das durch das Element <timeWindow> definiert wird. Das Zeitfenster gibt den Zeitraum an, in dem die statusabhängige Regel verarbeitet wird, um ihrem Muster zu entsprechen.
Das Aktivierungsintervall definiert, wann eine Regel aktiv und inaktiv ist. Das Element <activationInterval> definiert das Aktivierungsintervall für eine Regel.
Eine Regel kann zu einem diskreten Zeitpunkt oder durch ein bestimmtes Ereignis aktiviert oder inaktiviert werden.
Wenn Sie angeben, dass eine Regel zu einem diskreten Zeitpunkt und durch ein bestimmtes Ereignis aktiviert oder inaktiviert werden soll, wird die Regel aktiviert oder inaktiviert, sobald der Zeitpunkt erreicht oder das Ereignis empfangen wird, je nach dem, was zuerst eintritt. In diesem Fall wird die Regel während ihres Lebenszyklus jedoch möglicherweise durch eine Vielzahl Ereignisse aktiviert oder inaktiviert. Zum Beispiel wird eine Regel möglicherweise durch ein Ereignis aktiviert, inaktiviert, zu einem definierten Zeitpunkt aktiviert, erneut inaktiviert und durch ein weiteres Ereignis aktiviert.
Das Element <activationByGroupingKey> ist ein Element, das im Element <activationInterval> enthalten ist. Das Element <activationByGroupingKey> enthält Elemente, die die Ereignisse angeben, die eine Regelinstanz aktivieren und inaktivieren können, die durch das Element <groupingKey> definiert wird.
Die Lebenszyklusaktionen definieren die Aktionen, die in den folgenden vier Hauptphasen im Lebenszyklus einer Regel ausgeführt werden sollen: Laden, Aktivierung, Inaktivierung und Entladen.