ESM : Configurer des alertes de groupes de sources d'événement

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Chaque groupe de sources d'événements peut posséder sa propre règle d'alerte. Il est ainsi possible de paramétrer les limites de déclenchement d'alertes et le type de notification à utiliser en cas d'alerte. Cette rubrique décrit la procédure à suivre pour créer une règle d'alerte pour un groupe de sources d'événements.

Procédures

Créer une règle d'alerte pour un groupe de sources d'événements

  1. Dans le menu Security Analytics, sélectionnez Administration> Sources d'événements.
  2. Sélectionnez l'onglet Politiques de surveillance.
  3. Dans le panneau Groupes d'événement, sélectionnez un groupe.
  4. Saisissez une valeur dans les champs Seuil bas et Seuil élevé.

    Voici un exemple de seuils d'alerte.

    ESM_alerts01.png

  5. Sélectionnez Activer, puis cliquez sur Enregistrer pour activer la règle d'alerte configurée.

Remarque : Si vous modifiez une règle et quittez la page avant d'enregistrer vos modifications, un message d'avertissement vous indique que des modifications n'ont pas été enregistrées :

esm_policyChgWrn.png

Définir et afficher les seuils d'une règle d'alerte

Chaque groupe de sources d'événement est également une politique d'alerte. Les seuils font partie d'une politique d'alerte. Vous pouvez définir des seuils pour chaque politique d'alerte. Pour chaque politique, vous pouvez définir un seuil bas, un seuil élevé ou les deux. En outre, vous pouvez activer une politique sans fixer de seuils. Cela vous permet de recevoir des notifications basées sur les alertes automatiques. Les alertes automatiques sont générées lorsque la valeur de base d'une source de l'événement se trouve en dehors des limites normales.

  1. Dans le menu Security Analytics, sélectionnez Administration> Sources d'événements.
  2. Sélectionnez l'onglet Politiques de surveillance.
  3. Dans le panneau Groupes d'événement, sélectionnez un groupe.
    Les seuils définis pour le groupe sélectionné s'affichent dans le panneau Seuils.

    ESM_Threshold2.png

  4. Modifiez les valeurs pour le seuil bas ou haut comme suit :

    1. Saisissez le nombre d'événements pour le seuil.
    2. Saisissez le nombre de minutes ou d'heures pour le seuil. La valeur minimale est de 5 minutes.

    Remarque : Pour chaque seuil, vous pouvez définir les valeurs basses, les valeurs hautes ou les deux.

  5. Sélectionnez Activer pour activer les alarmes lorsque les seuils ne sont pas atteints.

    Remarque : Si vous configurez un seuil et si vous tentez d'enregistrer la page sans l'activer, vous recevez un message de confirmation vous demandant si la politique doit être activée : ddd
    esm_policy_conf.jpg

Par exemple, supposons que vous saisissiez 10 et 30 comme valeurs pour le seuil bas : 10 events in 30 minuteset 20 et 30 pour les valeurs du seuil élevé : 20 events in 30 minutes. Cela signifie qu'entre 10 et 20 événements doivent être consignés en 30 minutes (pour le groupe de sources d'événement sélectionné). Cela signifie que tout nombre entre les seuils bas et haut est considéré comme normal et ne déclenche pas d'alarme.

Remarque : Une fois que vous avez ajouté un seuil pour une politique, vous ne pouvez pas le supprimer. Vous pouvez désactiver la politique ou définir le seuil bas ou haut sur 0 événement en 5 minutes. Cinq minutes est la durée minimale pour un seuil.

You are here
Table of Contents > Surveiller les politiques > Configurer des alertes de groupes de sources d'événement

Attachments

    Outcomes