ESM: Pestaña Ajustes de configuración

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describen las funciones de la pestaña Ajustes de configuración. En la pestaña Ajustes de configuración se presentan opciones para el monitoreo automático (alertas de base).

Nota: Actualmente, las alertas automáticas y su configuración están en versión beta.

Acerca de las alertas automáticas

Puede configurar políticas y umbrales para los grupos de orígenes de eventos. Configúrelos de modo que reciba notificaciones cuando no se cumplan los umbrales. Security Analytics también proporciona un modo automático para recibir alarmas en caso de que no desee configurar umbrales para generar alarmas.

Puede usar valores de base para activar alertas automáticas. De esta forma,no es necesario configurar diversas políticas y umbrales de grupo a fin de recibir alertas. Cualquier cantidad anormal de mensajes activará las alertas, sin necesidad de realizar configuración alguna (excepto para la activación de las alertas automáticas).

Tenga en cuenta lo siguiente:

  • Una vez que comienza a recopilar los mensajes de un origen de evento, el sistema tarda aproximadamente una semana en almacenar un valor de base para ese origen de evento. Finalizado este período inicial, el sistema le avisa cuando la cantidad de mensajes durante un período se encuentra por encima o por debajo de la base en una cantidad específica. De forma predeterminada, esta cantidad es 2 desviaciones estándares por encima o por debajo de la base.
  • Base la configuración de desviación alta y baja en la “regularidad” del comportamiento de sus orígenes de eventos. Es decir, si espera poca o ninguna variación en la cantidad de mensajes que llegan durante una hora determinada (por ejemplo, 8:00 a 9:00 h en un día de semana), puede establecer un valor bajo para la desviación. Por el contrario, si ve a menudo ve horas punta y valle, configure la desviación en un valor superior.
  • Si habilita una política, pero no ha configurado umbrales, puede seguir recibiendo notificaciones automáticas (base), siempre y cuando haya activado las alertas automáticas.

Para acceder a esta pestaña, en el menú de Security Analytics, seleccione Administration > Orígenes de evento > Ajustes de configuración.

esm_baseline.png

Para conocer los procedimientos relacionados con esta pestaña, consulte Configurar alertas automáticas.

Características

La pestaña Ajustes de configuración contiene las siguientes funciones.

                                               
CaracterísticaDescripción
Habilitar el monitoreo automático

Determina si la alerta automática está activada o desactivada. De forma predeterminada, esta opción está seleccionada (la alerta automática está activada)

Habilitar notificaciones desde el monitoreo automático

Determina si las notificaciones de alertas automáticas están activadas o desactivadas. De forma predeterminada, esta opción está desactivada (no se envían notificaciones automáticas cuando las alertas automáticas están activadas)

Desviaciones estándares bajas

Las desviaciones estándares por debajo de las cuales se reciben alertas. El valor predeterminado es 2.0 (confianza del 95 %)

Desviaciones estándares altas

Las desviaciones estándares por sobre las cuales se reciben alertas. El valor predeterminado es 2.0 (confianza del 95 %)

Habilitar la persistencia de la agregación

Cuando se selecciona esta opción, almacena los conteos de orígenes de eventos por intervalo de una hora. Los datos que se recopilan se usan para formar la base de cada origen de eventos.

  • Habilitado (valor predeterminado): en la base de datos subyacente se almacena un conteo por hora por cada origen de evento. Estos conteos (o agregaciones) de una hora forman la base histórica para el procesamiento del rango normal de cada origen de evento.
  • Desactivado: cuando se reinicie el servidor de SMS, el monitoreo de orígenes de eventos no tendrá ningún dato histórico con el cual procesar el rango normal y el usuario tendrá que esperar hasta que se recopilen datos suficientes (aproximadamente durante una semana) para formar una nueva base para cada origen de eventos
Intervalo de persistencia de agregación en días

Controla cuántos datos históricos (consulte Habilitar la persistencia de la agregación) se deben mantener para cada origen de eventos. El valor predeterminado de 120 días significa que se mantiene un historial de aproximadamente 4 meses, el cual se usa para reconstruir la base de cada origen de eventos

Habilitar la generación de analítica

Cuando se habilita, los datos sobre el comportamiento de las alertas automáticas se almacenan en el disco. El valor predeterminado es Habilitado.

Los datos que se conservan, incluyen el valor de base en el tiempo y el historial de alertas para cada origen de evento. Tenga en cuenta, sin embargo, que la dirección y el tipo del origen de evento son anónimos, por lo tanto, solo se muestra la información de la tasa de eventos.

Dado que la alerta automática es una función en versión beta, estos datos son importantes para medir la eficacia de la función, la cual se puede deshabilitar sin afectar su funcionalidad

Restablecer

Esta opción descarta los cambios no guardados para todas las configuraciones en la página

Aplicar

Haga clic en Aplicar para guardar los cambios en los valores de esta pestaña.

You are here
Table of Contents > Referencia > Pestaña Ajustes de configuración

Attachments

    Outcomes