ESM : Alarmes et notifications

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Le module Source d'événement dans Security Analytics affiche les alarmes et envoie des notifications en fonction des alarmes déclenchées.

En matière d'alarmes, tenez compte de ce qui suit :

Les alarmes sont de deux types : automatiques (déclenchées lorsque les valeurs de base sont dépassées ou non respectées) et manuelles (configurées à l'aide des seuils).

  • Automatique : Si vous activez les alertes automatiques, le système émet des alarmes pour toutes les sources d'événements qui dépassent ou n'atteignent pas leurs valeurs de base normales. Vous pouvez spécifier le pourcentage de dépassement ou restant à atteindre sous Onglet Paramètres.
  • Manual : Si vous désactivez les alertes automatiques, vous recevez des alarmes uniquement pour les groupes de sources d'événements pour lesquels vous avez spécifié -et activé- des politiques (et des seuils).
  • Les alarmes apparaissent dans l'interface utilisateur, sous Onglet Alarmes.

En matière de notifications, tenez compte de ce qui suit :

  • Pour recevoir des notifications manuelles (par email, SNMP ou Syslog) :

    • Spécifiez une politique pour un groupe de sources d'événements.
    • Définissez un seuil supérieur ou inférieur (ou les deux).
    • Activez la politique.
  • Pour recevoir des notifications automatiques (de base) :

    • Les alertes de base doivent être activées. Elles sont activées par défaut.
    • Vous devez activer les notifications à partir de la surveillance automatique. Voir Configurer les alertes automatiques .
    • La source de l'événement qui déclenche l'alarme doit faire partie d'un groupe pour lequel une politique est activée.
  • Si les alertes automatiques sont activées, et si vous avez configuré une politique et un seuil pour un groupe :

    • Si la source de l'événement dépasse sa valeur de base, une alerte automatique s'affiche et vous recevez une notification.
    • Si la source de l'événement dépasse ses seuils, une alerte manuelle s'affiche et vous recevez une notification.
    • Si les deux cas de figure se produisent (dépassement ou non- respect du seuil et de la valeur de base), deux alarmes sont émises (visibles sous l'onglet Alarmes), accompagnées d'une notification. Cette notification répertorie la source de l'événement à l'origine de la double alarme, dont l'une est signalée comme étant une alarme automatique.

Notifications par e-mail volumineuses

Si vous avez configuré des notifications par e-mail, n'oubliez pas que l'e-mail peut devenir très volumineux, en fonction du nombre de sources d'événements dans la notification.

Si le nombre de sources d'événements dans l'état d'alarme dépasse 10 000, la notification par e-mail contient les détails des 10 000 premières sources et un nombre total. Ceci permet de garantir que l'e-mail est livré correctement.

Déclenchement des seuils haut et bas

Dans certaines occasions, les alarmes hautes et basses sont toutes deux déclenchées pour un groupe de source d'événement particulier. La meilleure façon de voir quand cela se produit est de lire l'en-tête de l'e-mail, qui indique clairement lorsque les deux seuils sont déclenchés, comme le montre cette image :

esm_highLowEmail.png

Dans cet exemple, l'en-tête indique « High threshold and Low threshold triggered on ciscopix group » (Seuil élevé et seuil bas déclenchés sur le groupe ciscopix) Pour voir les détails des sources d'événements avec des seuils bas, vous devrez peut-être faire défiler des centaines, voire des milliers, de sources d'événements de seuils hauts passées.

You are here
Table of Contents > À propos de la gestion de la source d'événements > Alarmes et notifications

Attachments

    Outcomes