Reporting : Vue Créer ou modifier une alerte

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

La vue Créer/modifier une alerte vous permet d'ajouter, de gérer et de modifier des alertes. Les procédures associées sont fournies dans la rubrique Utilisation des alertes dans le module Reporting.

Pour accéder à la vue Créer/modifier une alerte :

  1. Dans le menu Security Analytics, cliquez sur Administration Rapports.
    L'onglet Gérer s'affiche.
  2. Cliquez sur Alertes.
    La vue Alerte s'affiche.
  3. Dans la barre d'outils Alerte, cliquez sur add_button.png.
    La figure suivante est un exemple de la vue Créer/modifier une alerte.
    106_create_or_modify_alert.png

La vue Créer/modifier une alerte comprend les sections suivantes :

  • Section Définition d'alerte
  • Section Description d'alerte
  • Section Notification d'alerte

Section Définition d'alerte

La section Définition d'alerte vous permet de sélectionner une règle d'alerte et des sources de données, de transmettre l'événement au Decoder ou Log Decoder, et d'activer ou de désactiver l'alerte.

106_alert_def_pane.png

Le tableau suivant décrit les champs de la section Définition d'alerte.

                         
ChampDescription :
Activer
  • Activer - active l'alerte. L'alerte s'exécute et envoie des actions de sortie toutes les minutes (par défaut) lorsque les conditions d'alertes sont remplies.
  • Désactiver - désactive l'alerte. L'alerte ne s'exécute pas et n'envoie pas d'actions de sortie.
Base de règleCliquez sur Parcourir pour afficher le panneau Librairie de règles dans lequel vous sélectionnez la règle qui est la base de cette alerte.
Vous devez sélectionner une règle disposant d'une clause where unique pour une alerte.
Sources de donnéesSpécifie la source de données pour l'alerte.
Transmettre aux décodeurs

Cochez l'option Transmettre aux décodeurs pour transmettre la clause where de la règle d'alerte aux Decoders connectés à la source de données NWDB sélectionnée. Il s'agit de l'option recommandée pour créer une alerte RE, car les conditions d'alerte sont cochées au niveau du Decoder lui-même et les requêtes d'alerte seront plus rapides avec NWDB.

Si vous décochez cette option, une requête sera envoyée avec la clause where vers la source de données NWDB sélectionnée. En fonction de la complexité des métas dans la clause where, il se peut que le traitement des requêtes d'alertes soit plus long dans NWDB.

Remarque : Security Analytics n'envoie pas de règles au Decoder de manière automatique.

Section Notification d'alerte

La section Notification d'alerte vous permet de définir l'action de notification prise par Security Analytics lorsqu'une alerte se déclenche, comme l'enregistrement ou l'envoi de l'alerte à l'aide de l'une des actions de sortie définies. Les actions de sortie sont un message Simple Mail Transfer Protocol (SMTP), Simple Network Management Protocol (SNMP) ou Syslog.

Lorsque vous créez une alerte, la section Notification présente l'onglet par défaut Enregistrement. L'icône située à côté de l'onglet Enregistrement vous permet de sélectionner le type de notification à partir de la liste déroulante pour la sortie que vous souhaitez spécifier pour cette alerte : SMTP, SNMP ou Syslog.

Selon le type de notification sélectionné, la section Notification est renseignée avec un texte prédéfini contenant certaines variables qui ajouteront des méta adaptés à l'alerte. Dans le Reporting Engine, ces variables sont remplacées par des valeurs réelles. Le tableau suivant répertorie les variables et leur description.

                                 
VariableDescription :
${meta.<metakey>} Valeur de la clé méta.

Remarque : Si <metakey> n'extrait aucune valeur, la chaîne vide ("") est imprimée. 

${meta.time} / ${meta.time:<time_format>} ${meta.time} - La durée de la session s'affiche au format « aaaa-MMM-jj HH:mm:ss ». ${meta.time:<time_format>} - La durée de la session s'affiche au format horaire personnalisé par l'utilisateur. Par exemple, ${meta.time:dd-MM-yyyy HH:mm:ss}.

Pour plus d'informations sur le format horaire pris en charge, consultez http://docs.oracle.com/javase/7/docs/api/java/text/SimpleDateFormat.html

Remarque : Si le format horaire fourni par l'utilisateur n'est pas valide, le format horaire par défaut sera utilisé. Le format horaire par défaut est "aaaa-MMM-jj HH:mm:ss".

${name}      Nom de l'alerte défini dans Reporting Engine.
${count}     Nombre de fois qu'une alerte est détectée sur une période donnée. (Par défaut, il s'agit d'une minute)
${sa.host}     Nom d'hôte Security Analytics tel qu'il est configuré dans Reporting Engine.
${device.id}      L'ID de périphérique Security Analytics de la source de données.

La section Notification d'alerte propose quatre onglets :

  • Enregistrement
  • SMTP
  • SNMP
  • Syslog

Onglet Enregistrement

L'onglet Enregistrement vous permet de définir la fréquence d'enregistrement d'une alerte et le message que vous souhaitez générer lorsque l'alerte se déclenche.
106_alert_RECORD_pane.png

Le tableau suivant répertorie les différents champs de l'onglet Enregistrement et leur description.

                     
ChampDescription
ExécuterIndique la fréquence à laquelle enregistrer une alerte.
  • Une fois - N'enregistre l'alerte qu'une seule fois selon la fréquence de l'alerte, quel que soit le nombre de fois où l'alerte se déclenche. Security Analytics enregistre le nombre de fois où l'alerte s'est déclenchée effectivement pendant cet intervalle dans le fichier log. Ainsi, les analystes peuvent savoir combien de fois l'alerte a enregistré une correspondance sur un jour spécifique.
  • À chaque événement - Enregistre l'alerte à chaque déclenchement. Si une alerte se déclenche un nombre illimité de fois pendant une journée, cette alerte est considérée comme parasite et elle est ignorée, sauf dans le cas d'alertes qui requièrent une surveillance continue comme les modifications de configuration réseau et les attaques DDOS.

Remarque : Sélectionnez le paramètre Chaque événement à partir de la liste déroulante Exécuter pour les actions de sortie SNMP et Syslog. 

CorpsDésigne le corps du message.
Modèle de corps(Facultatif) Si les modèles ont été définis, vous pouvez sélectionner un modèle pour le message d'alerte. 

Onglet SMTP

L'onglet SMTP vous permet de définir la sortie SMTP (e-mail) pour cette alerte.
106_alert_SMTP_pane.png

Le tableau suivant répertorie les différents champs de l'onglet SMTP et leur description.

                             
ChampDescription :
ExecuteIndique le nombre de fois que vous souhaitez envoyer un e-mail pour l'alerte.
  • Une seule fois - Envoie uniquement un e-mail par intervalle si l'alerte se déclenche dans cet intervalle, peu importe le nombre de déclenchements d'alerte.
  • À chaque événement - Envoie un e-mail avec l'alerte pour chaque événement pour lequel les critères de règles sont réunis.
ObjectifIdentifie l'adresse e-mail ou la liste d'adresses e-mail séparées par des virgules à laquelle vous souhaitez envoyer cette alerte. 
SujetDésigne l'objet de l'e-mail.
CorpsDésigne le corps du message.
Modèle de corps(Facultatif) Si des modèles ont été définis, sélectionnez un modèle pour le message SMTP que vous pouvez utiliser tel quel ou modifié.

Onglet SNMP

L'onglet SNMP vous permet de définir la sortie SNMP pour l'alerte.
106_alert_SNMP_pane.png
Le tableau suivant répertorie les différents champs dans l'onglet SNMP et leur description.

                     
ChampDescription :
ExecuteIndique le nombre de fois que vous souhaitez envoyer une sortie SNMP pour l'alerte.
  • Une seule fois - Envoie un message SNMP avec un e-mail par intervalle si l'alerte se déclenche dans cet intervalle, peu importe le nombre de déclenchements d'alerte.
  • À chaque événement - Envoie un message SNMP avec l'alerte pour chaque événement pour lequel les critères de règles sont réunis.
CorpsDésigne le corps du message.
Modèle de corps(Facultatif) Si des modèles ont été définis, sélectionnez un modèle pour le message SNMP que vous pouvez utiliser tel quel ou modifié.

Onglet Syslog

L'onglet Syslog vous permet de définir la sortie du message Syslog pour cette alerte.
106_alert_Syslog_pane.png

Cliquez sur add_button.png pour ajouter une configuration Syslog à une alerte. La boîte de dialogue Nouvelle configuration Syslog s'affiche :
106_new_syslog_config_dialog.png
Le tableau ci-dessous décrit les champs de la boîte de dialogue Nouvelle configuration Syslog.

                                 
ChampDescription :
Configurations SyslogIndique la configuration Syslog définie dans le panneau Configuration Syslog de la vue Configuration de périphérique.
ExecuteIndique le nombre de fois que vous souhaitez envoyer une sortie Syslog pour l'alerte.
  • Une seule fois - Envoie une sortie Syslog avec un e-mail par intervalle si l'alerte se déclenche dans cet intervalle, peu importe le nombre de déclenchements d'alerte.
  • À chaque événement - Envoie une sortie Syslog avec l'alerte pour chaque événement pour lequel les critères de règles sont réunis.
SiteIndique le type de programme qui consigne le message. Voici des exemples de types de programmes :syslog, processus, messagerie, noyau.
GravitéIndique le niveau de gravité de l'alerte déclenchée.
  • Urgence
  • Alert
  • Critique
  • Erreur
  • Avertissement
  • Avis
  • Information
  • Debug
CorpsDésigne le corps du message.
Modèle de corps(Facultatif) Si des modèles ont été définis, sélectionnez un modèle pour le message Syslog que vous pouvez utiliser tel quel ou modifié.

Section Description d'alerte

La section Description d'alerte vous permet de fournir une description de l'alerte.
106_alert_descr_pane.png

Le tableau suivant décrit les champs de la section Description d'alerte.

                     
ChampDescription :
Description :Identifie la description de l'alerte.
CréerCrée une alerte. (Cette option s'affiche lorsque vous créez une alerte.)
EnregistrerEnregistrer les modifications apportées à l'alerte. (Cette option s'affiche lorsque vous modifiez une alerte.)
Previous Topic:Vue Alert
You are here
Table of Contents > Références du module Reporting > Références aux alertes > Vue Créer ou modifier une alerte

Attachments

    Outcomes