ESM : Créer une source d'événement et modifier des attributs

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Vous pouvez organiser vos sources d'événements en groupes. Pour cela, vous devez saisir des valeurs pour différents attributs de chaque source d'événement. Par exemple, pour toutes vos sources d'événements haute priorité, vous pouvez définir la Priorité sur 1. Vous pouvez afficher des détails sur les attributs disponibles sur l'écran Onglet Gérer la source d'événement.

La figure suivante donne un exemple du panneau sources d'événements :

esm_manage.png

Les attributs de source d'événement sont une association d'informations remplies automatiquement et saisies par l'utilisateur. Lorsqu'une source d'événement envoie des informations de log à Security Analytics, elle est ajoutée à la liste de sources d'événement, et certaines informations de base sont remplies automatiquement. À tout moment par la suite, les utilisateurs peuvent ajouter ou modifier des détails pour d'autres attributs de source d'événement.

Attributs obligatoires

Les attributs d'identification suivants sont gérés de manière spéciale : IP, IPv6, Nom d'hôte, Type de source d'événement, Log Collectorg et Log Decoder. Si vous créez une source d'événement manuellement, vous pouvez saisir ces valeurs. Lorsque vous enregistrez la source d'événement, ces valeurs ne peuvent plus être modifiées.

Les sources d'événements peuvent également être découvertes automatiquement ; toute source d'événement qui envoie des messages au Log Decoder sera ajoutée à la liste de sources d'événements. Si vous modifiez les attributs d'une source d'événement découverte automatiquement, vous ne pouvez modifier aucun de ces champs.

Notez que tous ces champs ne sont pas obligatoires. Pour identifier une source d'événement de manière unique, les informations suivantes sont requises :

  • IP ou IPv6 ou Nom d'hôte et
  • Type de source d'événement

De plus, RSA Security Analytics utilise une hiérarchie pour IP, IPv6 et le Nom d'hôte. L'ordre est le suivant :

  1. IP
  2. IPv6
  3. Nom de l’hôte

Si vous saisissez des sources d'événements manuellement, vous devez garder cet ordre à l'esprit. Sinon, des réplicas risquent d'être créés lors de la réception de messages provenant de sources d'événements que vous avez ajoutées manuellement.

Tous les autres attributs (tels que Priorité, Pays, Entreprise, Fournisseur, etc.) sont facultatifs. 

Créer une source d'événements

  1. Dans le menu Security Analytics, sélectionnez Administration > Sources d'événements.
  2. Sélectionnez l'onglet Gérer.
  3. Dans le panneau sources d'événements, cliquez sur 104ApplAdd.png pour ouvrir l'écran des détails, qui contient tous les attributs de source d'événement.

    L’état Onglet Gérer la source d'événement s'affiche.

  4. Saisissez ou modifiez les valeurs pour tous les attributs.
  5. Cliquez sur Save.

Mettre à jour les attributs pour une source d'événement

  1. Dans le menu Security Analytics, sélectionnez Administration> Sources d'événements.
  2. Sélectionnez l'onglet Gérer.
  3. Dans le panneau sources d'événements, sélectionnez une source d'événement dans la liste.
  4. Dans le panneau sources d'événements, cliquez sur 104ApplEdit.png pour ouvrir l'écran des détails, qui contient tous les attributs de source d'événement.

    L’état Onglet Gérer la source d'événement s'affiche.

  5. Saisissez ou modifiez les valeurs de tous les attributs, à l'exception de certains attributs qui ne peuvent pas être modifiés une fois saisis.
  6. Cliquez sur Save.
You are here
Table of Contents > Gérer des groupes de sources d'événement > Créer une source d'événement et modifier des attributs

Attachments

    Outcomes