Decoder : Procédures requises

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Il s'agit des étapes de configuration requises pour un nouveau Decoder ou Log Decoder, et de modification de la configuration d'un Decoder existant. Sauf indication contraire, Decoder se rapporte au paquet et aux logs Decoders. Suivez les étapes de la section dans l'ordre où elles sont indiquées.

Étape 1 : Vérifier la configuration système

La vérification de la configuration du système est la première étape qui doit être réalisée quand un nouveau service est ajouté à Security Analytics. 

Certaines valeurs par défaut des paramètres de configuration du système sont déjà en vigueur. Ces valeurs peuvent être modifiées et affinées pour une performance optimale. 

Étape 2 : Configurer les paramètres de capture 

Ensuite, vous pouvez configurer l'adaptateur pour la capture de données, activer le démarrage automatique de capture de données, sélectionner les analyseurs qui sont appliqués aux données saisies et optimiser la capture de données en configurant les paramètres de capture. 

Étape 3 : Activer ou désactiver les analyseurs

Vérifiez les analyseurs qui ont été téléchargés et déployés depuis Live et gérez ceux qui sont activés ou désactivés.

Étape 4 : Configurer les règles de Decoder 

Les règles de capture peuvent ajouter des alertes ou des informations contextuelles aux sessions ou aux logs. Elles peuvent également définir les données qui sont filtrées par un Decoder ou un Log Decoder. Les règles sont créées pour des modèles de métadonnées spécifiques. Elles se traduisent par des actions prédéfinies lorsque des correspondances sont trouvées. Par exemple, pour garder exclusivement l'ensemble du trafic qui correspond à certains critères, vous pouvez créer une règle qui effectue les actions nécessaires. Une fois appliquées, les règles affectent à la fois l'importation des fichiers de capture de paquets et la capture réseau instantanée.

Par défaut, aucune règle n'est définie lors de la première installation de Security Analytics. Avant que les règles soient spécifiées, les paquets ne sont pas filtrés. Vous pouvez déployer les dernières règles à partir de Live. Vous pouvez définir trois types de règles : Règles de couche réseau, règles de couche application et règles de corrélation.

Étape 5 : Démarrer et arrêter la capture de données 

Lorsqu'un Decoder démarre, il commence automatiquement à agréger des données si le démarrage automatique de capture est activé. Lorsque le démarrage automatique n'est pas activé, vous pouvez démarrer et arrêter la capture de données manuellement.

 

 

Topics

You are here
Table of Contents > Procédures requises

Attachments

    Outcomes