ESM : Alertes automatiques

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit les alertes automatiques qui sont configurées en fonction des paramètres de base.

Remarque : La configuration d'une alerte automatique et de tous les paramètres qui déterminent son comportement, sont actuellement au stade de test Bêta.

Vous pouvez définir des règles et des seuils pour vos groupes de sources d’événements afin de recevoir des notifications lorsque les seuils ne sont pas respectés. Security Analytics comporte aussi un moyen automatique de recevoir des alarmes si vous ne souhaitez pas configurer des seuils au delà desquels générer des alarmes.

Pour déclencher des alertes automatiques, vous pouvez utiliser les valeurs de base. Ainsi, vous n'avez pas besoin de configurer de nombreux seuils de groupe ni un tas de règles en vue de recevoir ces alertes. Une quantité anormale de messages suffit à provoquer le déclenchement des alertes, sans avoir à effectuer une configuration particulière (sauf pour activer une alerte automatique).

Notez les points suivants :

  • Dès que vous commencez à collecter des messages provenant d'une source d'événement, il faut environ une semaine pour que le système puisse stocker une valeur de référence pour cette source d'événement. Après cette période initiale, le système vous avertit lorsque le nombre de messages sur une période est supérieur ou inférieur à la ligne de base pour une quantité donnée. Par défaut, cette quantité correspond à un écart-type de 2 au-dessus ou en dessous de la ligne de base.
  • Basez vos paramètres d'écarts supérieur et inférieur sur la « régularité » du comportement de vos sources d'événements. Autrement dit, si vous vous attendez à peu ou pas de variation dans le nombre de messages qui arrivent pendant une période donnée (par exemple, entre 08:00 et 09:00 un jour de semaine), vous pouvez définir une valeur faible pour l'écart. Inversement, si vous constatez souvent des pics et des creux, vous pouvez définir une valeur d'écart supérieure.
  • Si vous activez une règle sans avoir de seuil défini, vous continuerez à recevoir des notifications automatiques (de base) tant que l'alerte automatique est activée.
You are here
Table of Contents > À propos de la gestion de la source d'événements > Alertes automatiques

Attachments

    Outcomes