ESM: Crear un origen de eventos y editar los atributos

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Puede organizar los orígenes de eventos en grupos. Para esto, debe ingresar valores de diversos atributos para cada origen de eventos. Por ejemplo, para todos los orígenes de eventos de prioridad alta, podría configurar la Prioridad en 1. Puede ver detalles sobre los atributos disponibles en la Pestaña Administrar origen de eventos.

En la siguiente figura se muestra un ejemplo del panel Orígenes de evento:

esm_manage.png

Los atributos de orígenes de eventos son una combinación de información que se completa automáticamente y que ingresa el usuario. Cuando un origen de eventos envía información de registro a Security Analytics, se agrega a la lista de orígenes de eventos y cierta información básica se completa automáticamente. En cualquier momento después de eso, los usuarios pueden agregar o editar los detalles de otros atributos de orígenes de eventos.

Atributos obligatorios

Los siguientes atributos de identificación se manejan de manera especial: IP, IPv6, Nombre del host, Tipo de origen de evento, Log Collector y Log Decoder. Si crea un origen de eventos manualmente, puede ingresar estos valores. Una vez que guarda el origen de eventos, estos valores no se pueden cambiar.

Los orígenes de eventos también se pueden descubrir automáticamente; cualquier origen de eventos que envíe mensajes a Log Decoder se agregará a la lista de orígenes de eventos. Si edita los atributos de un origen de eventos descubierto automáticamente, no puede editar ninguno de estos campos.

Tenga en cuenta que no todos estos campos son obligatorios. Para identificar de manera única un origen de eventos se requiere la siguiente información:

  • IP o IPv6, Nombre de host y
  • Tipo de origen de evento

Además, RSA Security Analytics usa una jerarquía para IP, IPv6 y nombre del host. El orden es el siguiente:

  1. IP
  2. IPv6
  3. Hostname

Si ingresa orígenes de eventos manualmente, debe tener presente este orden o, de lo contrario, se pueden crear duplicados cuando se reciben mensajes de los orígenes de eventos que agregó de forma manual.

Los demás atributos (como Prioridad, País, Empresa, Proveedor, etc.) son opcionales. 

Crear un origen de eventos

  1. En el menú de Security Analytics, seleccione Administration > Orígenes de evento.
  2. Seleccione la pestaña Administrar.
  3. En el panel Orígenes de evento, haga clic en 104ApplAdd.png para abrir la pantalla de detalles que contiene todos los atributos de los orígenes de eventos.

    Se muestra la Pestaña Administrar origen de eventos .

  4. Ingrese o cambie los valores de cualquier atributo.
  5. Haga clic en Guardar.

Actualizar atributos de un origen de eventos

  1. En el menú de Security Analytics, seleccione Administration > Orígenes de evento.
  2. Seleccione la pestaña Administrar.
  3. En el panel Orígenes de evento, seleccione un origen de eventos de la lista.
  4. En el panel Orígenes de evento, haga clic en 104ApplEdit.png para abrir la pantalla de detalles que contiene todos los atributos de los orígenes de eventos.

    Se muestra la Pestaña Administrar origen de eventos .

  5. Ingrese o cambie los valores de cualquier atributo, salvo de ciertos atributos que no se pueden modificar una vez que se ingresan.
  6. Haga clic en Guardar
You are here
Table of Contents > Administrar grupos de orígenes de eventos > Crear un origen de eventos y editar los atributos

Attachments

    Outcomes