Gestion des incidents : Créer une règle d'agrégation

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Vous pouvez créer des règles d'agrégation avec plusieurs critères pour automatiser le processus de création d'incidents. Les alertes qui répondent aux critères de la règle sont regroupées pour former un incident. Cette procédure est utile lorsqu'un ensemble d'alertes spécifique peut être regroupé en incident et que vous pouvez définir une règle d'agrégation qui regroupe les alertes au lieu de créer manuellement un incident et d'ajouter chaque alerte à cet incident. Pour créer automatiquement des incidents, vous devez créer une règle d'agrégation.

Pour créer une règle d'agrégation :

  1. Dans le menu Security Analytics, sélectionnez Incidents >Configurer.
  2. Sélectionnez Règles d'agrégation.

    La vue Règles d'agrégation s'affiche.

    La liste des 9 règles prédéfinies s'affiche. Exécutez l'une des opérations suivantes :

    • ajouter une nouvelle règle 
    • modifier une règle existante
    • cloner une règle
  3. Pour ajouter une nouvelle règle, sélectionnez .

    L'onglet Nouvelle règle s'affiche.

    L'exemple ci-dessous illustre le regroupement des alertes en incident en fonction du score de risque.

    add_rule_sample_im.png

  4. Cliquez sur Save.

    La règle s'affiche dans la vue Règles d'agrégation. La règle est activée et commence à créer des incidents en fonction des alertes entrantes qui répondent aux critères sélectionnés.

Voir aussi :

  • Pour des détails sur les différents paramètres pouvant être définis comme critères pour une règle d'agrégation, reportez-vous à Onglet Nouvelle règle.
  • Pour des détails sur la description des paramètres et des champs de la vue Règles d'agrégation, reportez-vous à Onglet Règles d'agrégation.
You are here
Table of Contents > Automatiser le processus de gestion des incidents > Créer une règle d'agrégation

Attachments

    Outcomes