Alertes : Choisir comment être notifié des alertes

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique explique comment ajouter différentes méthodes de notification à une règle. Les autorisations de rôle Administrateur, Responsable du SOC ou DPO sont requises pour toutes les tâches de cette section.

Lorsqu'une règle déclenche une alerte, ESA peut envoyer une notification par les moyens suivants :

  • E-mail
  • SNMP
  • Syslog
  • Script

Pour configurer une notification, vous devez configurer ces composants : 

  • Serveur de notification – Après avoir configuré un serveur de notification, vous pouvez l'ajouter à une règle. Lorsque la règle déclenche une alerte, la règle va utiliser ce serveur pour envoyer des notifications d'alerte.
  • Notifications – Ce sont les sorties, qui peuvent être de type e-mail, script, SNMP et Syslog. Lorsque vous concevez une règle, vous pouvez spécifier la notification d'une alerte.
  • Modèles – Le format d'une notification d'alerte est défini dans un modèle.

Event Stream Analysis propose deux fonctionnalités : la suppression d'alerte et la réglementation du taux d'alerte. La suppression d'alerte permet de vérifier que plusieurs e-mails ne sont pas envoyés pour la même alerte. Par exemple, utiliser une règle pour détecter les échecs de connexions des utilisateurs. Si vous définissez la suppression d'alerte sur trois minutes, vous ne verrez que les alertes générées dans ce laps de temps. Ceci est inférieur au nombre d'alertes que vous pouvez voir sans suppression d'alerte. Certaines alertes peuvent être des doublons. Avec la suppression d'alerte, les e-mails ne sont pas envoyés pour les alertes en double. Cela garantit que la boîte de réception ne soit saturée de notifications d'alerte redondantes.

La réglementation du taux d'alerte est une mesure préventive qui garantit que les alertes issues de règles mal interprétées n'inondent pas le système. Cela permet de s'assurer que ESA ne dépasse pas la limite configurée d'envoi d'e-mails en une minute.

Les serveurs de notification, les notifications et les modèles sont configurés dans la vue Système d'administration. Pour plus d'informations, consultez les sections « Configurer les serveurs de notification », « Configurer les sorties de notification » et « Configurer des modèles pour les notifications » dans le Guide de configuration système.

 

 

You are here
Table of Contents > Choisir comment être notifié des alertes

Attachments

    Outcomes