ESM: Escenarios comunes para políticas de monitoreo

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En general, las organizaciones monitorean sus orígenes de eventos en “depósitos” de acuerdo con la criticidad de estos. Un ejemplo típico es el siguiente:

  • Hay un grupo de dispositivos PCI y es fundamental saber si alguno de estos deja de enviar mensajes (o si envía muy pocos) en un intervalo de media hora.
  • Hay un grupo de dispositivos Windows y es útil saber si alguno de estos deja de enviar mensajes después de cuatro horas.
  • Hay un grupo de dispositivos inactivos que generalmente no envían muchos mensajes, pero se desea saber si no envían nada durante 24 horas.

Muchas organizaciones pueden tener una red que se asemeja a este ejemplo. Es posible que tenga más categorías o categorías diferentes, pero este ejemplo se usa para analizar esta función.

Puede haber decenas o incluso cientos de grupos de orígenes de eventos y, sin embargo, solo necesita configurar umbrales y alertas para algunos grupos de ellos.

Nota: Si un origen de eventos es miembro de múltiples grupos en los cuales están configuradas las alertas, solo emitirá una alerta en el primer grupo coincidente en la lista ordenada. (En la pestaña Políticas de monitoreo se presenta una lista ordenada de los grupos).

Orden de los grupos

Nota: Para cambiar el orden de los grupos, arrastre y suelte un grupo en su nueva ubicación. Cuanto más alto se enumere un grupo, mayor será la prioridad de los umbrales de ese grupo: RSA Security Analytics comprueba los umbrales en el orden que se proporciona en este panel. De este modo, los grupos con prioridad más alta deben estar en la parte superior de esta lista.

Lo primero que se debe tener presente es cómo ordenar los grupos en la página Políticas de monitoreo. Suponga que tiene los tres grupos antes mencionados y que debe ordenarlos de la siguiente manera:

  1. Orígenes de eventos inactivos. Con este grupo en primer lugar se asegura de no recibir numerosas alertas falsas.
  2. Orígenes de eventos de PCI de alta prioridad. Los dispositivos con prioridad más alta se deben ubicar a continuación de los dispositivos inactivos
  3. Orígenes de eventos de Windows. El rango de tiempo es mayor (cuatro horas frente a media hora) para estos dispositivos que para los dispositivos PCI. Por lo tanto, deben estar a continuación de los dispositivos de PCI.
  4. Todos los orígenes de eventos. De manera opcional, puede configurar umbrales para todos los dispositivos a modo de captura general. Esto garantiza que la red completa funcione según lo previsto. Para el grupo general, no es necesario especificar umbrales; puede usar alertas automáticas para generar alarmas para los orígenes de eventos de este grupo.

ESM_order1.png

En la figura anterior, observe lo siguiente:

  • Los grupos se ordenan como se analiza en la sección anterior.
  • El umbral para los dispositivos PCI tiene como objetivo advertir si llegan menos de 10 mensajes en 30 minutos a Security Analytics.
  • Se define un umbral inferior, pero no uno superior. Esto es típico para muchos casos de uso.

Después de configurar y ordenar los grupos y de comenzar a recibir alertas, puede ser necesario ajustar el orden. Use esta guía como ayuda para ajustar el orden:

  • Si recibe más notificaciones de las que necesita, puede colocar el grupo más abajo en el orden. De manera similar, si recibe muy pocas notificaciones, transfiera el grupo hacia la parte superior.
  • Si observa que un origen de eventos está creando más alertas de lo que debería, puede transferirlo a otro grupo o crear un nuevo grupo para ese origen de eventos.
Previous Topic:Alertas automáticas
You are here
Table of Contents > Acerca de la administración de orígenes de eventos > Escenarios comunes para políticas de monitoreo

Attachments

    Outcomes