Alerting: Seleccionar cómo se desea recibir una notificación sobre alertas

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se explican los distintos métodos de notificación y cómo agregar un método de notificación a una regla. Se requieren los permisos de función administrador, administrador del SOC o DPO para todas las tareas de esta sección.

Cuando una regla activa una alerta, ESA puede enviar una notificación de las siguientes maneras:

  • Correo electrónico
  • SNMP
  • Syslog
  • Script

Para configurar una notificación, se definen los siguientes componentes: 

  • Servidor de notificación: después de configurar un servidor de notificación, puede agregarlo a una regla. Cuando la regla activa una alerta, usará ese servidor para enviar notificaciones de alertas.
  • Notificaciones: son las salidas, entre las cuales se incluye correo electrónico, script, SNMP y syslog. Cuando diseña una regla, puede especificar la notificación para una alerta.
  • Plantillas: el formato de una notificación de alerta se define en una plantilla.

La supresión de alertas y la normativa de tasa de alertas son dos funciones que proporciona Event Stream Analysis. La supresión de alertas asegura que no se envíen varios correos electrónicos para la misma alerta. Por ejemplo, considere una regla para detectar nombres de inicio de sesión del usuario fallidos. Si establece la supresión de alertas en tres minutos, solo verá las alertas generadas en ese intervalo de tiempo. Esto es menor que la cantidad de alertas que vería sin la supresión de alertas. Algunas alertas pueden estar duplicadas. Con la supresión de alertas, no se envían correos electrónicos para las alertas duplicadas. Esto garantiza que la bandeja de entrada no se inunde de notificaciones de alertas redundantes.

La normativa de tasas de alertas es una medida preventiva que asegura que las alertas que provienen de reglas malinterpretadas no inunden el sistema. De esta manera se impide que ESA envíe más del límite de correos electrónicos configurado en un minuto.

Los servidores de notificación, las notificaciones y las plantillas se configuran en la vista Sistema de Administration. Para obtener más información, consulte “Configurar servidores de notificación”, “Configurar las salidas de las notificaciones” y “Configurar plantillas para notificaciones” en la Guía de configuración del sistema.

 

 

You are here
Table of Contents > Seleccionar cómo se desea recibir una notificación sobre alertas

Attachments

    Outcomes