Présentation de la configuration d'Incident Management

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Security Analytics Incident Management utilise les données d'alerte issues de diverses sources via le bus de messages et affiche ces alertes dans l'interface utilisateur Security Analytics. Le service Incident Management vous permet de grouper les alertes de manière logique et de lancer un workflow de réponse aux incidents pour rechercher les problèmes de sécurité qui se sont produits et y remédier. 

Le service Incident Management utilise les alertes provenant du bus de messages et standardise les données en un format commun (tout en conservant les données initiales) afin de simplifier l'exécution des règles. Il exécute périodiquement des règles pour agréger plusieurs alertes en un incident et définir certains attributs de l'incident (par exemple gravité, catégorie, etc.). Les incidents sont conservés dans MongoDb par le service Gestion des incidents. Les incidents sont aussi publiés sur le bus de messages pour être utilisés par d'autres systèmes (par exemple l'intégration Archer).

Remarque : Les enregistrements d'alerte sont conservés dans MongoDb par le service Gestion des incidents. Dans Security Analytics 10.4 et versions supérieures, l'instance de MongoDb est installée sur l'un des hôtes ESA. ESA est un composant requis pour Incident Management.

La figure suivante illustre un schéma de flux de données général :

Architecture_diagram.png

Vous devez configurer différentes sources depuis lesquelles les alertes sont collectées et agrégées par le service Gestion des incidents.

You are here
Table of Contents > Présentation d'Incident Management

Attachments

    Outcomes