ESM: Administrar grupos de orígenes de eventos

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Definiciones

Cuando trabaje con grupos de orígenes de eventos en Security Analytics, tenga en cuenta lo siguiente:

  • Un origen de eventos es esencialmente la combinación de valores de todos sus atributos.
  • Un grupo de orígenes de eventos es el conjunto de orígenes de eventos que coinciden con una serie de criterios que se definen para ese grupo.

Por ejemplo, podrían existir los siguientes grupos:

  • Un grupo llamado Dispositivos de Windows, que consta de todos los tipos de orígenes de eventos asociados a orígenes de eventos de Microsoft Windows (winevent_nic, winevent_er y winevent_snare).
  • Un grupo llamado Servicios de prioridad baja, que consta de todos los servicios cuyo atributo Prioridad se configuró en un valor menor que 5.
  • Un grupo llamado Servidores de ventas de EE. UU., donde se reúnen orígenes de eventos que se encuentran en EE. UU. cuyo atributo Organización corresponde a Ventas, Financiamiento o Marketing.

Detalles de la pestaña Administrar

En la pestaña Administrar del módulo Origen de evento se proporciona una manera fácil de administrar orígenes de eventos. Esta pestaña permite:

  • Configurar grupos de orígenes de eventos de manera coherente.
  • Trabajar con atributos de orígenes de eventos de manera coherente y directa.
  • Buscar fácilmente en el conjunto de orígenes de eventos completo.
  • Editar y actualizar en masa los orígenes de eventos y los grupos de orígenes de eventos.

Realice lo siguiente para ver los detalles de los grupos de orígenes de eventos:

  1. En el menú de Security Analytics, seleccione Administration > Orígenes de evento.
  2. Seleccione el panel Administrar para ver los detalles de los grupos de orígenes de eventos existentes.

Nota: Cuando el sistema recibe registros de un origen de eventos que no existe actualmente en la lista de orígenes de eventos, Security Analytics agrega automáticamente el origen de eventos a la lista. Además, si coincide con los criterios de algún grupo existente, pasa a formar parte de ese grupo.

Grupos predeterminados

RSA Security Analytics tiene varios grupos predeterminados. Puede personalizarlos como prefiera y usarlos como plantillas para crear nuevos grupos.

Los valores predeterminados son los siguientes:

  • Todos los orígenes de eventos
  • Todos los orígenes de eventos de Unix
  • Todos los orígenes de eventos de Windows
  • Orígenes de eventos de Windows críticos
  • Orígenes de eventos de PCI
  • Orígenes de eventos inactivos

Puede editar cualquiera de estos grupos para investigar las reglas que los definen.

Nota: No puede editar ni eliminar el grupo de orígenes de eventos Todos.

Temas:

You are here
Table of Contents > Administrar grupos de orígenes de eventos

Attachments

    Outcomes