Gestion des incidents : Onglet Nouvelle règle

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente les informations de paramètres nécessaires à la création d'une nouvelle règle.

Pour accéder à la vue de l'onglet Nouvelle règle :

  1. Dans le menu Security Analytics, sélectionnez Incidents > Configurer > Règles d'agrégation.

    La vue Règles d'agrégation s'affiche.

  2. Cliquez sur .

    L'onglet Nouvelle règle s'affiche.

    add_rule_dialog_im.png

La vue Nouvelle règle présente plusieurs champs dans lesquels vous pouvez personnaliser une nouvelle règle.

Le tableau suivant répertorie les paramètres qui doivent être fournis pour créer de nouvelles règles d'agrégation.

                                                            
ParamètreDescription :
EnabledSélectionnez la règle pour l'activer.
Name*Nom de la règle. Il s’agit d’un champ obligatoire. 
Description :Une description de la règle pour donner une idée des alertes qui sont agrégées.
Conditions de mise en correspondance*

Générateur de requête - Sélectionnez cette option si vous souhaitez créer une requête avec différentes conditions pouvant être regroupées. Vous pouvez également avoir des groupes imbriqués de conditions.

Conditions de mise en correspondance - Vous pouvez définir la valeur sur Tous, N'importe lequel ou Aucun d'entre eux. En fonction de votre sélection, les types de critères spécifiés dans les conditions et le groupe de conditions sont mis en correspondance pour regrouper les alertes.

Par exemple, si vous définissez la condition d'association sur Tous, les alertes qui correspondent aux critères mentionnés dans les Conditions et Conditions de groupe sont regroupées en un incident.
Ajouter une condition à mettre en correspondance en cliquant sur <>
Ajouter un groupe de conditions en cliquant sur <> et ajouter des conditions en cliquant sur <>
Vous pouvez inclure plusieurs conditions et groupes de conditions qui peuvent être mis en correspondance selon les critères définis et regrouper les alertes entrantes en incidents.

Avancé - Sélectionnez cette option si vous souhaitez ajouter un générateur de requête avancé. Vous pouvez ajouter une condition spécifique qui peut être mise en correspondance selon l'option correspondante sélectionnée.

Par exemple : vous pouvez saisir le format de générateur de critères {"$and": [{"alert.severity" : {"$gt":4}}]} pour regrouper les alertes qui possèdent une gravité supérieure à 4.

Pour la syntaxe avancée, reportez-vous à http://docs.mongodb.org/manual/reference/operator/query/ ou http://docs.mongodb.org/manual/reference/method/db.collection.find/

Action

Regrouper dans un incident - Si cette option est activée, les alertes qui correspondent à l'ensemble de critères sont regroupées en une alerte.

Supprimer l'alerte - Si cette option est activée, les alertes qui correspondent aux critères sont supprimées.

Options de regroupement*

Regrouper par : Les critères de regroupement des alertes par catégorie spécifiée. Vous pouvez regrouper les alertes sans attributs (toutes les alertes correspondantes regroupées), avec 1 attribut ou 2 attributs. Le regroupement avec un attribut signifie que toutes les alertes correspondantes contenant la même valeur de cet attribut sont regroupées dans le même incident.

Période : La plage de temps spécifiée aux alertes de groupe.
Par exemple, si la période est définie sur 1 heure, toutes les alertes qui correspondent aux critères définis dans le champ Regrouper par et qui arrivent chaque heure sont regroupés dans un incident.

Options d'incident

Titre :(Facultatif) Titre de l'incident. Vous pouvez fournir des espaces réservés en fonction des attributs groupés. Les espaces réservés sont facultatifs. Si vous n'utilisez pas d'espaces réservés, tous les incidents créés par la règle auront le même titre.

Par exemple, si vous les regroupez en fonction de la source, vous pouvez nommer l'incident comme Alertes pour ${groupByValue1} et les incidents de toutes les alertes issues de ECAT sont nommées Alertes pour ECAT.

Récapitulatif - (Facultatif) Récapitulatif de l'incident.
Catégorie - (Facultatif) Catégorie de l'incident créé. Un incident peut être classé en utilisant plusieurs catégories.
Personne affectée - (Facultatif) Nom de la personne affectée à laquelle l'incident est attribué.
Priorité

Score moyen de risque pour toutes les alertes - Utilise la moyenne des notes de risque sur toutes les alertes pour définir la priorité de l'incident créé.

Score de risque le plus élevé pour toutes les alertes - Utilise la note supérieure disponible sur toutes les alertes pour définir la priorité de l'incident créé.

Nombre d'alertes dans la période - Utilise la somme du nombre d'alertes dans la période sélectionnée pour définir la priorité de l'incident créé.

Déplacez le curseur pour régler l'échelle qui définit le niveau de priorité de l'incident.

NotificationsUn ensemble d'adresses e-mail des utilisateurs à notifier lorsque des incidents sont créés par cette règle.
You are here
Table of Contents > Informations de référence de gestion des incidents > vue Configure > Onglet Règles d'agrégation > Onglet Nouvelle règle

Attachments

    Outcomes