ESM : Onglet Paramètres

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette section décrit les fonctionnalités de l'onglet Paramètres. L'onglet Paramètres présente des options pour la surveillance automatique (alertes de base).

Remarque : Les alertes automatiques, et leurs paramètres, sont actuellement en phase de test bêta.

À propos des alertes automatiques

Vous pouvez définir des règles et des seuils pour vos groupes de sources d’événements afin de recevoir des notifications lorsque les seuils ne sont pas respectés. Security Analytics comporte aussi un moyen automatique de recevoir des alarmes si vous ne souhaitez pas configurer des seuils au delà desquels générer des alarmes.

Pour déclencher des alertes automatiques, vous pouvez utiliser les valeurs de base. Ainsi, vous n'avez pas besoin de configurer de nombreux seuils de groupe ni un tas de règles en vue de recevoir ces alertes. Une quantité anormale de messages suffit à provoquer le déclenchement des alertes, sans avoir à effectuer une configuration particulière (sauf pour activer une alerte automatique).

Notez les points suivants :

  • Dès que vous commencez à collecter des messages provenant d'une source d'événement, il faut environ une semaine pour que le système puisse stocker une valeur de référence pour cette source d'événement. Après cette période initiale, le système vous avertit lorsque le nombre de messages sur une période est supérieur ou inférieur à la ligne de base pour une quantité donnée. Par défaut, cette quantité correspond à un écart-type de 2 au-dessus ou en dessous de la ligne de base.
  • Basez vos paramètres d'écarts supérieur et inférieur sur la « régularité » du comportement de vos sources d'événements. Autrement dit, si vous vous attendez à peu ou pas de variation dans le nombre de messages qui arrivent pendant une période donnée (par exemple, entre 08:00 et 09:00 un jour de semaine), vous pouvez définir une valeur faible pour l'écart. Inversement, si vous constatez souvent des pics et des creux, vous pouvez définir une valeur d'écart supérieure.
  • Si vous activez une règle sans avoir de seuil défini, vous continuerez à recevoir des notifications automatiques (de base) tant que l'alerte automatique est activée.

Pour accéder à cet onglet, dans le menu Security Analytics, sélectionnez Administration > Sources d'événements > Paramètres.

esm_baseline.png

Pour connaître les procédures relatives à cet onglet, reportez-vous à Configurer les alertes automatiques.

Fonctions

L'onglet Paramètres contient les fonctions suivantes.

                                               
FonctionnalitéDescription :
Activer la surveillance automatique

Détermine si les alertes automatiques sont activées ou désactivées. Par défaut, cette option est sélectionnée (alertes automatiques activées)

Activer les notifications en mode Surveillance automatique

Détermine si les notifications des alertes automatiques sont activées ou désactivées. Par défaut, cette option est désactivée (les notifications automatiques ne sont pas envoyées lorsque les alertes automatiques se déclenchent)

Écarts types faibles

Seuil d'écarts types en dessous duquel les alertes doivent être reçues. La valeur par défaut est 2,0 (95 % de confiance)

Écarts types élevés

Seuil d'écarts types audessus duquel les alertes doivent être reçues. La valeur par défaut est 2,0 (95 % de confiance)

Activer la persistance de l'agrégation

Une fois sélectionnée, cette option stocke le nombre de sources d'événements par intervalle d'une heure. Les données collectées sont utilisées pour former les valeurs de référence de chaque source de l'événement.

  • Activé (par défaut) : un nombre par heure et par source de l'événement est stocké dans la base de données sousjacente. Ces nombres par heure (ou agrégations) constituent la base historique du calcul de la plage normale pour chaque source de l'événement.
  • Désactivé : lorsque le serveur SMS redémarre, la surveillance des sources d'événements ne comporte aucune donnée historique permettant de calculer la plage normale. L'utilisateur doit attendre que suffisamment de données (l'équivalent d'une semaine environ) soient collectées pour former une nouvelle base pour chaque source de l'événement
Intervalle de persistance de l'agrégation en jours

Contrôle la quantité de données historiques (reportez-vous à Activer la persistance de l'agrégation) à conserver pour chaque source de l'événement. La valeur par défaut est de 120 jours, ce qui signifie que 4 mois d'historique environ sont conservés, puis utilisés lors de la reconstruction de la base pour chaque source de l'événement.

Activer la génération d'analyses

Une fois cette option activée, les données relatives au comportement des alertes automatiques sont stockées sur disque. La valeur par défaut est Activé.

Les données conservées comprennent la valeur de base au fil du temps et l'historique des alertes pour chaque source de l'événement. Toutefois, notez que l'adresse et le type de la source de l'événement sont anonymes. Par conséquent, seules les informations relatives au taux d'événements sont révélées.

Dans la mesure où les alertes automatiques sont une fonction bêta, ces données sont importantes pour mesurer l'efficacité de la fonction. Vous pouvez désactiver cette option. Cela n'affecte pas la fonction d'alerte automatique.

Réinitialiser

Cette option indique que les modifications sont ignorées pour tous les paramètres de la page

Appliquer

Cliquez sur Appliquer pour enregistrer les modifications apportées aux valeurs de la page.

You are here
Table of Contents > Référence > Onglet Paramètres

Attachments

    Outcomes