ESM : Créer des groupes de sources d'événements

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Les administrateurs doivent recevoir des notifications lorsque les sources d'événements ne sont plus collectées par Security Analytics. Ils doivent pouvoir configurer la durée pendant laquelle les sources d'événements peuvent rester silencieuses (noncollecte de messages log) avant d'envoyer une notification basée sur différents facteurs.

RSA Security Analytics fournit des groupes de sources d'événements pour que vous puissiez regrouper des appareils d'importance similaire. Vous pouvez créer des groupes d'après les attributs que vous avez importés à partir de votre CMDB (base de données de gestion de configuration), ou en choisissant manuellement les sources d'événements à ajouter au groupe.

Par exemple, voici quelques-uns des types de groupes de source d'événement que vous pouvez créer :

  • Source PCI
  • Contrôleurs de domaine Windows
  • Sources silencieuses
  • Serveurs de finance
  • Appareils haute priorité
  • Toutes les sources Windows

Procédure

Pour créer un groupe de source d'événement :

  1. Dans le menu Security Analytics, sélectionnez Administration > Sources d'événements.
  2. Dans le panneau Gérer, cliquez sur add_icon.png.

    La boîte de dialogue Créer un groupe d'événements s'affiche.

    ES_Add.png

  3. Saisissez un nom de groupe.
  4. Saisissez une description.
  5. Cliquez sur add_icon.png pour ajouter une condition. Continuez d'ajouter des conditions selon le besoin. Pour plus de détails sur les conditions de construction, voir Créer/modifier un formulaire de groupe.
  6. Cliquez sur Save.

    Le nouveau groupe est indiqué dans le panneau Gérer.

Exemples 

Cette section décrit un exemple isolé, puis indique comment configurer un groupe de règles plus complet.

Exemple isolé

Si vous souhaitez créer un groupe de sources d'événements qui contient toutes vos sources d'événements haute priorité, cet exemple décrit les étapes nécessaires.

  1. Dans le menu Security Analytics, sélectionnez Administration> Sources d'événements.
  2. Dans le panneau Gérer > Groupes, cliquez sur add_icon.png.
  3. Saisissez Appareils haute priorité pour le nom du groupe.
  4. Saisissez une description, telle que « Ces appareils sont notre première priorité et doivent être étroitement surveillés. »
  5. Laissez Tous sélectionné et cliquez sur add_icon.png pour ajouter une condition.
  6. Sélectionnez Ajouter une condition dans le menu déroulant.

    1. Sélectionnez un attribut : Priorité.
    2. Sélectionnez un opérateur : Inférieur à.
    3. Saisissez une valeur : 2.

      La figure suivante affiche la boîte de dialogue Modifier le groupe d'événements mise à jour.

      ES_Add02.png

  7. Cliquez sur Save.

Exemple complexe

Dans cet exemple, vous devez créer une règle assez complexe : associer des sources d'événements qui sont aux États-Unis et dans les services Ventes, Finance ou Marketing. De même, associez des sources d'événements de ventes internes et haute priorité dans le monde entier. Une priorité élevée doit être attribuées aux priorités 1 ou 0. Logiquement, la définition est la suivante :

(Country=United States AND (Dept.=Sales OR Dept.=Finance OR Dept.=Marketing))
OR
(Priority < 2 AND Division != External AND Dept.=Sales)

La figure suivante est un exemple de critères de création d'un groupe de sources d'événements.

ESM_complexGroup.png

You are here
Table of Contents > Gérer des groupes de sources d'événement > Créer des groupes de sources d'événements

Attachments

    Outcomes