Descripción general de la configuración de Incident Management

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Security Analytics Incident Management consume datos de alerta de diversos orígenes a través del bus de mensajes y muestra estas alertas en la interfaz del usuario de Security Analytics. El servicio Incident Management permite agrupar las alertas de manera lógica e iniciar un flujo de trabajo de respuesta ante incidentes para investigar y corregir los problemas de seguridad planteados. 

Este servicio consume alertas del bus de mensajes y normaliza los datos a un formato común (conservando los datos originales) para permitir un procesamiento más simple de las reglas. Ejecuta periódicamente las reglas para agregar múltiples alertas en un incidente y establecer algunos atributos del incidente (por ejemplo, severidad, categoría, etc.). El servicio Incident Management hace persistir los incidentes en MongoDb. Los incidentes también se publican en el bus de mensajes para que otros sistemas los consuman (por ejemplo, la integración de Archer).

Nota: El servicio Incident Management hace persistir los registros de alertas en MongoDb. En Security Analytics 10.4 y superior, la instancia de MongoDb se instala en uno de los hosts de ESA. ESA es un componente requerido para Incident Management.

En la siguiente figura se ilustra un diagrama de flujo de datos general:

architecture_diagram.png

Debe configurar diversos orígenes desde los cuales el servicio Incident Management recopila y agrega las alertas.

You are here
Table of Contents > Descripción general de Incident Management

Attachments

    Outcomes