Config. de SA : Définir une configuration de consignation globale des audits

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique indique aux administrateurs comment définir une configuration de consignation globale des audits. Cette procédure n'est obligatoire que si vous configurez la consignation centralisée des audits dans votre environnement. Ces configurations globales définissent la manière dont les logs d'audit globaux sont transmis au système syslog externe ou aux Log Decoders. Les logs d'audit sont transmis aux serveurs de notification sélectionnés.

Conditions préalables

Avant de commencer cette procédure, configurez les éléments suivants que vous utiliserez pour la consignation globale des audits :

  • Serveur de notification syslog
  • Modèle de consignation des audits

Vous pouvez configurer le serveur et le modèle de notification sur le panneau Notifications globales. Pour accéder au panneau Notifications globales, cliquez sur le lien Afficher les paramètres dans le panneau Configurations de la consignation d'audit globale. Vous ne pouvez définir qu'un type Syslog de serveur de notification pour la consignation globale des audits. Pour les Log Decoders, utilisez un type Syslog de serveur de notification et un modèle de consignation des audits au format CEF (Common Event Format). Vous pouvez utiliser un modèle de consignation des audits par défaut ou définir vos propres modèles. Vous pouvez créer plusieurs modèles de consignation des audits et serveurs de notification Syslog et les utiliser avec vos configurations de configuration globale des audits. 

Si vous transmettez des logs d'audit globaux à un Log Decoder, déployez le parser CEF (Common Event Format) sur votre Log Decoder depuis Live.

Ajouter une configuration de consignation d'audit globale

  1. Dans le menu Security Analytics, sélectionnez Administration> Système.
  2. Dans le panneau des options, sélectionnez Audit global.
    Le panneau Configurations de la consignation d'audit globale s'affiche.
  3. Cliquez sur pour ajouter une configuration de la consignation d'audit globale.
    La boîte de dialogue Ajouter une nouvelle configuration apparaît.
  4. Dans le champ Nom de configuration, saisissez un nom unique pour la configuration de consignation d'audit globale. Par exemple, vous pouvez créer une configuration pour un type de configuration de consignation d'audit globale spécifique, par exemple SG SA pour une configuration du siège social de Security Analytics.
  5. Dans la section Notifications, sélectionnez le serveur de notification syslog à utiliser pour cette configuration. Il s'agit de la destination à laquelle envoyer les logs d'audit globaux.
  6. Sélectionnez le modèle de notification de consignation d'audit à utiliser pour cette configuration. Le modèle de consignation des audits définit le format et les champs des messages de logs d'audit à envoyer. 
  7. Cliquez sur Save.

Boîte de dialogue Ajouter une nouvelle configuration fournit des informations complémentaires et des exemples d'actions utilisateur consignées. Pour obtenir les types de messages consignés par les divers composants de Security Analytics, voir Référence aux opérations de consignation globale des audits.

Modifier une configuration de consignation globale des audits

Cette rubrique fournit des instructions sur la manière de modifier une configuration de consignation globale des audits. Vous pouvez modifier une configuration de consignation globale des audits pour changer la destination des logs d'audit globaux de vos audits d'utilisateur en sélectionnant un serveur de notification différent. Vous pouvez aussi modifier les champs de format et de message des entrées des logs d'audit en sélectionnant un modèle de notification différent. Pour modifier le serveur de notification ou le modèle de notification, utilisez le panneau Notifications globales. Pour accéder au panneau Notifications globales, cliquez sur le lien Afficher les paramètres dans le panneau Configurations de la consignation d'audit globale.

Vous ne pouvez pas modifier les types d'actions d'utilisateur Security Analytics qui sont consignés et envoyés dans les logs d'audit globaux. 

  1. Dans le menu Security Analytics, sélectionnez Administration> Système.
  2. Dans le panneau des options, sélectionnez Audit global.
  3. Dans le panneau Configurations de la consignation globale des audits, sélectionnez une configuration à modifier et cliquez sur.
  4. Dans la boîte de dialogue Ajouter une nouvelle configuration, modifiez la configuration de consignation globale des audits comme il est nécessaire. Vous pouvez modifier le nom de configuration et sélectionner un serveur de notification ou un modèle différent.
  5. Cliquez sur Save.

Supprimer une configuration de consignation globale des audits

La suppression d'une configuration globale des audits ne supprime pas le serveur et le modèle de notification associés. Après la suppression, le transfert des logs d'audits globaux, spécifiés dans cette configuration, est interrompu.

  1. Dans le menu Security Analytics, sélectionnez Administration> Système.
  2. Dans le panneau des options, sélectionnez Audit global.
  3. Dans le panneau Configurations de la consignation globale des audits, sélectionnez une configuration à supprimer et cliquez sur .
    Une boîte de dialogue de confirmation s'affiche.
  4. Cliquez sur Yes.
    La configuration sélectionnée est supprimée.
You are here
Table of Contents > Procédures standard > Configurer la consignation globale des audits > Définir une configuration de consignation globale des audits

Attachments

    Outcomes