Alertes : Télécharger des règles ESA RSA Live configurables

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique explique comment télécharger des règles configurables depuis le système de gestion de contenu Live de Security Analytics et les adapter à vos besoins.

RSA Live contient un catalogue de règles. Chaque règle contient des paramètres configurables qui vous permettent de l'adapter à votre environnement. Si RSA Live inclut une règle qui identifie les événements à détecter dans votre réseau, téléchargez-la pour gagner du temps. Vous pouvez modifier les paramètres configurables et enregistrer la règle dans votre bibliothèque de règles. 

Il s'agit d'un exemple de description de chaque règle ESA RSA Live dans RSA Live :

Nom de la règleDescription :
Ouvertures de session sur plusieurs serveursDétecte les ouvertures de session effectuées par un même utilisateur sur au moins 3 serveurs en 5 minutes.

La période et le nombre de destinations uniques sont configurables.

 

Comme son nom l'indique, la règle recherche les ouvertures de session effectuées sur plusieurs serveurs. La description explique les critères de la règle de façon plus détaillée et indique les paramètres modifiés.

Remarque : Quand la description d'une règle contient un paramètre configurable, le paramètre par défaut est appliqué. Dans la règle fournie en exemple, la description indique 5 minutes. Toutefois, la période est configurable. 5 est donc le nombre de minutes par défaut.

Conditions préalables

Voici les conditions préalables pour le téléchargement des règles ESA RSA Live configurables :

  • Être autorisé à gérer les règles
  • Créez un compte Live. Consultez le Guide de gestion des services Live pour plus d'informations.
  • Configurer Live dans Security Analytics Reportez-vous au Guide de gestion des services Live pour plus de détails.

Procédure

Pour télécharger des règles ESA RSA Live configurables :

  1. Dans le menu Security Analytics, sélectionnez Alertes > Configurer.
    L'onglet Règles s’affiche.
  2. Dans le panneau des options, cliquez sur Obtenir des règles de RSA Live.
    L'onglet Rechercher s’affiche.
    RSALvSrch.png
  3. Dans Critères de recherche, pour Type de ressource, sélectionnez Règle RSA Event Stream Analysis.
  4. Indiquez l'un des critères suivants pour rechercher une règle permettant de configurer votre environnement. 
    Pour obtenir une description détaillée des critères de recherche, reportez-vous à la section « La Vue Recherche Live » dans le Guide de gestion des services Live.
    1. Mots-clés
    2. Tags
    3. Clés méta requises
    4. Métavaleurs générées
    5. Date de création de la ressource
    6. Date de modification de la ressource
  5. Cliquez sur Search. Les règles correspondant aux critères de recherche sont affichées dans Ressources correspondantes.
  6. Sélectionnez chaque règle à télécharger et cliquez sur Déployer
    L'assistant Déploiement s'affiche
  7. Suivez les étapes de l'assistant. Si vous avez besoin de plus d'informations, reportez-vous à la section « Déployer des ressources dans Live » dans le Guide de gestion des services Live.

Une fois les étapes de l'assistant terminées, les règles sélectionnées s'affichent dans la Bibliothèque de règles.

You are here
Table of Contents > Ajouter des règles à la Bibliothèque de règles > Télécharger des règles ESA RSA Live configurables

Attachments

    Outcomes