ESM : Gérer des groupes de sources d'événement

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Définitions

Lorsque vous utilisez des groupes de sources d'événements dans Security Analytics, tenez compte des points suivants :

  • Une source d'événements est essentiellement une combinaison des valeurs de tous ses attributs.
  • Un groupe de source d'événements regroupe l'ensemble des sources d'événements qui correspondent aux critères définis pour ce groupe.

Par exemple, vous pouvez utiliser les groupes suivants :

  • Groupe Périphériques Windows, qui regroupe tous les types de sources d'événements associés aux sources d'événements Microsoft Windows (winevent_nic, winevent_er et winevent_snare).
  • Groupe Services à faible priorité, qui regroupe tous les services dans lesquels l'attribut Priorité est paramétré sur une valeur inférieure à 5.
  • Groupe Serveurs commerciaux français, qui regroupe toutes les sources d'événements situées en France et dont l'attribut Organisation est Ventes, Finance ou Marketing.

Détail de l'onglet Gérer

L'onglet Gérer du module Event Source permet de gérer facilement les sources d'événements. Dans cet onglet, vous pouvez :

  • Définir des groupes de sources d'événements de façon homogène
  • Utiliser des attributs de sources d'événements de façon simple et homogène
  • Rechercher facilement des sources dans un ensemble de sources d'événements
  • Modifier et mettre à jour en bloc les sources d'événements et les groupes de sources d'événements

Vous pouvez consulter le détail des groupes de sources d'événements en procédant comme suit :

  1. Dans le menu Security Analytics, sélectionnez Administration > Sources d'événements.
  2. Sélectionnez le panneau Gérer  pour consulter le détail de vos groupes de sources d'événements.

Remarque : Lorsque le système reçoit des logs d'une source d'événement qui n'existe pas actuellement dans la liste Source d'événement, Security Analytics ajoute automatiquement la source d'événement à la liste. Par ailleurs, si elle répond aux critères d'un groupe existant, elle devient partie prenante de ce groupe.

Groupes par défaut

RSA Security Analytics dispose de plusieurs groupes par défaut. Vous pouvez personnaliser ces groupes selon vos besoins et vous en servir comme modèles pour créer d'autres groupes.

Les groupes par défaut sont les suivants :

  • Toutes les sources d'événements
  • Toutes les sources d'événements Unix
  • Toutes les sources d'événements Windows
  • Sources d'événements Windows critiques
  • Sources d'événements PCI
  • Sources d'événements silencieuses

Vous pouvez modifier n'importe lequel de ces groupes pour rechercher les règles qui les définissent.

Remarque : Vous ne pouvez pas modifier ni supprimer le groupe Toutes les sources d'événements.

Sections :

You are here
Table of Contents > Gérer des groupes de sources d'événement

Attachments

    Outcomes