ESM : Onglet Politiques de surveillance

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

L'onglet Politiques de surveillance organise les seuils par groupe de sources d'événements.

Pour accéder à cet onglet :

  1. Dans le menu Security Analytics, sélectionnez Administration > Sources d'événements.

    L'onglet Gérer s'affiche.

  2. Sélectionnez l'onglet Politiques de surveillance.

ESM_alerts01.png

Les procédures liées à cet onglet sont décrites dans la rubrique Politiques de surveillance. Surveiller les politiques.

Fonctions

La rubrique Politiques de surveillance se compose de trois panneaux.

Panneau Groupe d'événements

ESM_alertsGrps.png

Le groupe sélectionné dans ce panneau détermine les seuils qui doivent être affichés dans le panneau Seuils. Vous pouvez définir un ensemble de seuils pour chaque groupe de sources d'événements. Notez que les groupes sont affiché dans un ordre spécifique :

  • Faites glisser-déplacer les groupes pour modifier l'ordre spécifié.
  • Les groupes placés en tête de liste sont prioritaires sur ceux qui suivent : RSA Security Analytics vérifie les seuils dans l'ordre prévu dans ce panneau. Ainsi, vos groupes prioritaires doivent être en haut de cette liste

Panneau Seuils

Voici un exemple du panneau Seuils pour un groupe de sources d'événements.

ESM_threshold2.png

Le panneau Seuils contient les caractéristiques suivantes.

                               
FonctionnalitéDescription :
Activer

La case à cocher Activer indique si les seuils définis pour un groupe sont activés ou non. Si c'est le cas, des notifications sont envoyées chaque fois que les seuils de ce groupe dépassent la plage définie. Dans le cas contraire, aucune surveillance de ce groupe de sources d'événements n'est effectuée.

Remarque : Si vous configurez un seuil et si vous tentez d'enregistrer la page sans l'activer, vous recevez un message de confirmation vous demandant si la politique doit être activée.

Si vous activez une politique sans avoir de seuil défini, vous continuerez à recevoir des notifications automatiques (de base) tant que les notifications automatiques sont activées.

Voir ci-dessous pour plus de détails sur l'apparence des notifications.

Nombre d'événements
Faible nombre de minutes ou heures

Il s'agit de la limite inférieure du seuil. Saisissez le plus petit nombre d'événements et la période. Si le groupe de sources d'événements reçoit moins de messages que spécifié ici, le seuil n'est pas atteint et les notifications sont envoyées.

Nombre d'événements
Grand nombre de minutes ou heures
Fonctionne de la même manière que pour les valeurs inférieures : Si le groupe de sources d'événements reçoit plus de messages que spécifié ici, le seuil n'est pas atteint et les notifications sont envoyées.
Date et heure de la dernière modificationCe champ indique la date et l'heure auxquelles les seuils ont été modifiés pour la dernière fois.
EnregistrerEnregistre les modifications que vous avez effectuées sur les seuils.

Panneau Notifications

Voici un exemple du panneau Notifications pour un groupe de sources d'événements.

ESM_alerts01.png

Le tableau suivant décrit les champs du panneau Notifications

                                       
ChampDescription :

Outils

+  -

Les éléments suivants sont disponibles dans la barre d'outils :

  • Ajouter (+) : le fait de cliquer sur Ajouter présente un menu dans lequel vous pouvez choisir le type de notification
  • Supprimer (-) : supprime la ligne sélectionnée de la liste.
Paramètres de notification

Cliquez sur ce lien permet d'ouvrir un nouvel onglet  Admin > Système > Notifications dans Security Analytics.

Type

Affiche le type de la notification que vous avez choisie. Les options disponibles sont les suivantes :

  • E-mail
  • SNMP
  • Syslog
NotificationConsultez leConfigurer les sorties de Notificationrubrique dans leGuide de Configuration systèmePour plus d’informations.

Serveur de notification

Consultez leConfigurer les serveurs de Notificationrubrique dans leGuide de Configuration systèmePour en savoir plus
Modèle

Pour la gestion de la source d'événements, RSA fournit trois modèles prêts à l'emploi pour les notifications. Vous pouvez utiliser ces modèles tels quels ou les personnaliser en fonction des besoins de votre organisation :

  • Modèle d'e-mail : envoie des notifications aux adresses e-mail spécifiées.
  • Modèle SNMP : envoie des notifications au serveur SNMP spécifié.
  • Modèle Syslog : envoie des notifications au serveur Syslog spécifié.

Consultez leConfigurer le système pour les Notificationsrubrique dans leGuide de Configuration systèmePour plus d’informations.

Limitation des sorties Utilisez cette option pour limiter la fréquence de réception des notifications de cette règle, en cas de déclenchement d'une multitude d'alertes sur une courte période. 

Voici des exemples de notifications basées sur les modèles fournis :

  • E-mail :

    esm_note-email.png

    Remarque : Pour les notifications par e-mail, la troisième colonne, Type d'alarme, indique si l'alarme déclenchée a été basée sur un seuil défini par l'utilisateur ou sur les données de base dépassant les limites normales. Si la surveillance ou les notifications automatiques sont désactivées, vous ne recevrez pas de notifications automatiques. Cela est également vrai pour Syslog et SNMP, sauf que ces notifications sont mises en forme différemment.

  • Trap SNMP :

     11-11-2015 11:57:33 Local7.Debug 127.0.0.1 community=public, enterprise=1.3.6.1.4.1.36807.1.20.1, uptime=104313, agent_ip=10.251.37.92, version=Ver2, 1.3.6.1.4.1.36807.1.20.1="Security Analytics Event Source Monitoring Notification: Group: PCI Event Source(s) High Threshold: Greater than 500 events in 5 minutes 10.17.0.10,ciscopix,Manual 10.17.0.13,ciscopix,Manual 10.17.0.8,ciscopix,Manual 10.17.0.8,ciscopix,Automatic 10.17.0.12,ciscopix,Manual 10.17.0.5,ciscopix,Manual 10.17.0.6,ciscopix,Manual 10.17.0.4,ciscopix,Manual 10.17.0.4,ciscopix,Automatic 10.17.0.3,ciscopix,Manual" 
  • Exemple Syslog :

     11-11-2015 11:57:33 User.Info 127.0.0.1 Nov 11 11:57:33 localhost CEF:0|RSA|Security Analytics Event Source Monitoring|10.6.0.0.0| HighThresholdAlert|ThresholdExceeded|1|cat=PCI Event Source(s)|Devices| src=10.17.0.10,ciscopix,Manual|src=10.17.0.13,ciscopix,Manual|src=10.17.0.8,ciscopix,Manual|src=10.17.0.8,ciscopix,Automatic|src=10.17.0.12,ciscopix,Manual|src=10.17.0.5,ciscopix,Manual|src=10.17.0.6,ciscopix,Manual|src=10.17.0.4,ciscopix,Manual|src=10.17.0.4,ciscopix,Automatic|src=10.17.0.3,ciscopix,Manual|
Previous Topic:Onglet Gérer
You are here
Table of Contents > Référence > Onglet Politiques de surveillance

Attachments

    Outcomes