Reporting : Ajouter une alerte

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit les instructions permettant d'ajouter une alerte.

Conditions préalables

Vérifiez que :

  • Vos règles sont définies avec des clauses where uniques avant d'ajouter une alerte.
  • Vos décodeurs sont connectés à Concentrator et ajoutés à Reporting Engine pour la source de données sélectionnée, avant d'ajouter une règle d'alerte.
  • Vous venez de découvrir les composants de la vue Créer/modifier une alerte. Pour plus d’informations, voir le Vue Créer ou modifier une alerte.

Procédure

Pour ajouter une alerte, effectuez les étapes suivantes.

  1. Dans le menu Security Analytics, cliquez sur Administration Rapports.
    L'onglet Gérer s'affiche.
  2. Cliquez sur Alertes.
    La vue Alerte s'affiche.
  3. Dans la barre d'outils Alerte, cliquez sur add_button.png.

    L'onglet de la vue Créer/modifier une alerte s'affiche.

    add_alert_tabbd_104.png

    Remarque :  Si vous souhaitez ajouter une clé de métabase dans la règle, indiquez-le dans le format suivant : ${meta.metakey}. Par exemple, ${meta.ip.dst}.

  4. Cliquez sur Activer pour activer l'alerte.
  5. Dans le champ Base de règle, procédez comme suit :

    1. Cliquez sur Parcourir.
      La boîte de dialogue Base de la règle de recherche s'affiche.
    2. Accédez à l'arborescence Règle et sélectionnez une règle.
    3. Cliquez sur OK.
      Le nom de la règle s'affiche dans le champ Base de règle.
  6. Sélectionnez une source de données dans la liste déroulante Sources de données.

    Remarque : Si la source de données n'est pas affichée, vérifiez que vous disposez des autorisations Lecture définies pour la source de données. Cela s'applique aux sources de données NWDB et Warehouse. Pour plus d'informations, reportez-vous à la section Configurer les autorisations d'accès aux sources de données dans le Guide de configuration de l'hôte et des services.

  7. Cochez la case Transmettre aux décodeurs pour Reporting Engine pour envoyer la règle à Decoder.
  8. (Facultatif) Saisissez une description de l'alerte dans le champ Description.
  9. Sélectionnez le niveau de gravité dans la liste déroulante Gravité.
  10. Dans le champ Notification, procédez comme suit :

    1. Sélectionnez la notification appropriée.
      L'onglet de la notification sélectionnée s'affiche dans la boîte de dialogue Créer/modifier une alerte.
    2. (Facultatif) Annulez la sélection de la notification pour désactiver l'onglet de notification.
    3. Définissez l'action dans l'un des onglets Notification  :

      1. Dans le champ de l'onglet Enregistrer, procédez comme suit :
        1. Dans la liste déroulante Exécuter, sélectionnez la fréquence d'enregistrement d'une alerte. 
        2. Saisissez le message ENREGISTRER. Vous pouvez créer entièrement le message ou sélectionner un modèle dans le champ Modèle de corps, puis modifier le modèle depuis cet emplacement.
        3. (Facultatif) Si des modèles ont été définis, sélectionnez un modèle pour le message ENREGISTRER que vous pouvez utiliser tel quel ou modifié.
      2. Dans le champ de l'onglet SMTP, procédez comme suit :
        1. Dans la liste déroulante Exécuter, sélectionnez une valeur pour identifier le nombre de fois que vous souhaitez envoyer un message électronique pour l'alerte.
        2. Saisissez une adresse e-mail ou une liste d'adresses e-mail séparées par des virgules à laquelle vous souhaitez envoyer cette alerte. 
        3. Saisissez l'objet du message électronique.
        4. Saisissez le corps du message. Vous pouvez créer entièrement le message ou sélectionner un modèle dans le champ Modèle de corps, puis modifier le modèle depuis cet emplacement.
        5. (Facultatif) Si des modèles ont été définis, sélectionnez un modèle pour le message SMTP que vous pouvez utiliser tel quel ou modifié.
      3. Dans le champ de l'onglet SNMP, procédez comme suit :
        1. Dans la liste déroulante Exécuter, sélectionnez une valeur pour identifier le nombre de fois que vous souhaitez envoyer un message SNMP pour l'alerte.
        2. Saisissez le message SNMP. Vous pouvez créer entièrement le message ou sélectionner un modèle dans le champ Modèle de corps, puis modifier le modèle depuis cet emplacement.
        3. (Facultatif) Si des modèles ont été définis, sélectionnez un modèle pour le message SNMP que vous pouvez utiliser tel quel ou modifié.
      4. Dans le champ de l'onglet Syslog, procédez comme suit :

        Remarque : Vous pouvez configurer plusieurs serveurs Syslog sur le panneau de configuration Syslog. Pour plus d'informations, consultez la rubrique Actions de sortie du Reporting Engine dans le Guide de configuration de l'hôte et des services.

        1. Cliquez sur add_button.png.
          La boîte de dialogue Nouvelle configuration Syslog s'affiche.
          new_syslog_config_dialog_104.png
        2. Dans la liste déroulante Configurations Syslog, sélectionnez une valeur pour la configuration syslog.
        3. Dans la liste déroulante Exécuter, sélectionnez une valeur pour identifier le nombre de fois que vous souhaitez envoyer un message Syslog pour l'alerte.
        4. Sélectionnez la fonctionnalité dans la liste déroulante Fonctionnalité.
        5. Sélectionnez le niveau de gravité dans la liste déroulante Gravité.
        6. Saisissez le message Syslog. Vous pouvez créer entièrement le message ou sélectionner un modèle dans le champ Modèle de corps, puis modifier le modèle depuis cet emplacement.
        7. (Facultatif) Si des modèles ont été définis, sélectionnez un modèle pour le message Syslog que vous pouvez utiliser tel quel ou modifié.
        8. Cliquez sur Save.
          La configuration Syslog est ajoutée à l'alerte.
  11. Cliquez sur Create.
    Security Analytics crée l'alerte avec un message de confirmation indiquant que l'alerte est enregistrée. Security Analytics déclenche l'alerte et exécute les actions de sortie chaque minute.
Previous Topic:Définir des alertes
You are here
Table of Contents > Utilisation des alertes dans le module Reporting > Définir des alertes > Ajouter une alerte

Attachments

    Outcomes