ESM : Importer des sources d'événement

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Vous pouvez importer les attributs d'une source d'événement à partir d'un fichier formaté CSV. Pour importer des informations à partir d'une base de données de gestion de configuration (CMDB), une feuille de calcul, ou tout autre type de fichier, convertissez ou enregistrez au préalable les informations dans un fichier CSV.

Remarque : Les attributs d'identification suivants sont gérés de manière spéciale : IP, IPv6, Nom d'hôte, Type de source d'événement, Log Collectorg et Log Decoder. Si vous importez une source d'événement qui inclut une valeur différente pour un de ces champs (en comparaison avec la valeur dans Security Analytics), la valeur d'origine dans Security Analytics ne sera pas remplacée.

Les attributs importés sont associés à la source d'événement correspondante et sont disponibles pour une utilisation avec les règles afin de créer des groupes de sources d'événements.

RSA Security Analytics traite le fichier d'importation comme un dossier complet correct. Cette hypothèse conduit aux comportements suivants liés à l'importation des attributs de sources d'événements :

  • Par défaut, lorsque vous importez des attributs, le système met uniquement à jour les attributs des sources d'événements existantes.
  • Si la source d'événement existe dans le fichier d'importation, mais pas dans Security Analytics, les attributs de cette source d'événement sont ignorés. Autrement dit, Security Analytics ne crée pas de nouvelle source d'événement pour ces attributs.
  • Si la source d'événement existe dans le fichier d'importation et Security Analytics, les valeurs de cette source d'événement sont remplacées.
  • Si un attribut est vide dans le fichier d'importation, il efface l'attribut correspondant dans Security Analytics.
  • Si aucun attribut n'est spécifié dans le fichier d'importation, alors l'attribut correspondant est ignoré dans Security Analytics (mais il n'est pas effacé).

Remarque : Il existe une différence entre un attribut vide et un attribut non spécifié du tout. Si un attribut est spécifié, mais vide, on suppose qu'il est censé être vide ; Security Analytics efface alors cet attribut pour la source d'événement correspondante. En revanche, si aucun attribut n'est spécifié du tout, on suppose qu'aucun changement n'est prévu.

Les comportements ci-dessus correspondent à la configuration par défaut — vous pouvez néanmoins les modifier comme spécifié dans la procédure suivante.

Importer les attributs de source d’événement

Pour importer les attributs d'une source d'événement à partir d'un fichier :

  1. Dans le menu Security Analytics, sélectionnez Administration> Sources d'événements.
  2. Sélectionnez l'onglet Gérer.

    L'onglet Event Sources Manage s'affiche.

    esm_manage.png

  3. Dans le menu Importer/Exporter de la barre d'outils (esm_impExIcon.png), sélectionnez Importer (esm_import.png).

    La boîte de dialogue Importer des sources d'événements s'affiche.

    esm_import02.png

  4. Accédez au fichier d'importation, puis sélectionnez les cases appropriées :

    • Par défaut : Le comportement par défaut est décrit ci-dessus.
    • Ajouter uniquement : Importe un attribut uniquement si le champ correspondant dans Security Analytics est vide. Par conséquent, aucune valeur existante n'est pas remplacée.
    • Ne pas effacer les valeurs : N'efface pas les valeurs d'attributs dans Security Analytics correspondant aux éléments qui sont vides dans le fichier d'importation.
    • Ajouter des sources inconnues : Ajoute de nouvelles sources d'événements en fonction des éléments du fichier d'importation.

    Remarque : Vous pouvez sélectionner plusieurs options.

  5. Cliquez sur Importer.
  6. Cliquez sur Oui dans la boîte de dialogue de confirmation pour effectuer l'importation.

Dépannage du fichier d'importation

Si votre fichier d'importation n'est pas mis en forme correctement, ou s'il manque des informations requises, un message d'erreur s'affiche et le fichier n'est pas importé.

Vérifiez les éléments suivants :

  • Si vous ajoutez des sources inconnues, chaque ligne du fichier devra contenir une combinaison des attributs requis :
    • IP ou IPv6 ou Nom d'hôte et
    • Type de source d'événement
  • La première ligne du fichier doit contenir les noms des en-têtes qui doivent correspondre aux noms présents dans Security Analytics. Pour obtenir la liste des noms de colonnes corrects, vous pouvez exporter une seule source d'événement. Examinez le fichier CSV exporté : la première ligne du fichier contient l'ensemble des noms d'attributs/de colonnes appropriés.
You are here
Table of Contents > Gérer des groupes de sources d'événement > Importer des sources d'événement

Attachments

    Outcomes