Informes: Vista Crear o modificar alerta

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

La vista Crear/modificar alerta permite agregar, administrar y editar alertas. En Trabajar con alertas en el módulo Reporting se proporcionan procedimientos relacionados.

Para acceder a la vista Crear/modificar alerta:

  1. En el menú de Security Analytics, haga clic en Administration Informes.
    Se muestra la pestaña Administrar.
  2. Haga clic en Alertas.
    Se muestra la vista Alerta.
  3. En la barra de herramientas Alerta, haga clic en add_button.png.
    La siguiente figura es un ejemplo de la vista Crear/modificar alerta.
    106_create_or_modify_alert.png

En la vista Crear/modificar alerta se incluyen las siguientes secciones:

  • Sección Definición de alerta
  • Sección Descripción de alerta
  • Sección Notificación de alerta

Sección Definición de alerta

La sección Definición de alerta permite seleccionar una regla y orígenes de datos de alerta, enviar el evento al Decoder o al Log Decoder y habilitar o deshabilitar la alerta.

106_alert_def_pane.png

En la tabla siguiente se describen los campos de la sección Definición de alerta:

                         
CampoDescripción
Habilitar
  • Activar activa la alerta. La alerta ejecuta y envía acciones de salida a cada minuto (de forma predeterminada) cuando se cumplen las condiciones de la alerta.
  • Desactivar desactiva la alerta. La alerta no se ejecuta y no envía acciones de salida.
Base de la reglaSi hace clic en el botón Navegar, se muestra el panel Biblioteca de reglas en el cual se selecciona la regla que es la base de esta alerta.
Debe seleccionar una regla que tenga una cláusula where única para una alerta.
Orígenes de datosEspecifica el origen de datos de una alerta.
Migrar a decodificadores

Seleccione esta opción para enviar la cláusula “where” de la regla de alerta a los Decoders conectados al origen de datos de NWDB seleccionado. Esta es la opción recomendada para crear una alerta RE, ya que las condiciones de alerta se comprueban en el Decoder y las consultas de alerta serán comparativamente más rápidas en NWDB.

Si deselecciona esta opción, la cláusula “where” de la regla de alerta se consultará contra el origen de datos de NWDB seleccionado. Sobre la base de la complejidad y los metadatos en la cláusula “where” de la regla, podría ser más lento procesar las consultas en NWDB.

Nota: Security Analytics no envía reglas al Decoder de forma automática.

Sección Notificación de alerta

La sección Notificación de alerta permite definir la acción de notificación que realiza Security Analytics cuando se activa la alerta, es decir, la alerta se registra o se envía mediante una de las acciones de salida definidas. Las acciones de salida son Protocolo simple de transferencia de correo (SMTP), Protocolo simple de administración de redes (SNMP) o mensaje de syslog.

Cuando crea una alerta, la sección Notificación incluye la pestaña Registro de manera predeterminada. El ícono junto a la pestaña Registro permite seleccionar el tipo de notificación de la lista desplegable para la salida que se desea especificar para esta alerta: SMTP, SNMP o syslog.

Según el tipo de notificación seleccionado, la sección Notificación se completa con texto predefinido que tiene ciertas variables que agregarán metadatos apropiados a la alerta. En Reporting Engine, estas variables se reemplazan por valores reales. La siguiente tabla enumera las variables y su descripción.

                                 
VariableDescripción
${meta.<metakey>} El valor de clave de metadatos.

Nota: Si <metakey> no recuperó ningún valor, se imprime una cadena vacía (“”). 

${meta.time} / ${meta.time:<time_format>} ${meta.time}: La hora de la sesión se imprime en formato “aaaa-MMM-dd HH:mm:ss”. ${meta.time:<time_format>} : La hora de la sesión se imprime en el formato de hora personalizado que proporcionó el usuario. Por ejemplo, ${meta.time:dd-MM-yyyy HH:mm:ss}.

Para obtener más información sobre los formatos de hora compatibles, consulte http://docs.oracle.com/javase/7/docs/api/java/text/SimpleDateFormat.html

Nota: Si el formato de hora proporcionado por el usuario no es válido, se utilizará el formato de hora predeterminado. El formato de hora predeterminado es “aaaa-MMM-dd HH:mm:ss”.

${name}      El nombre de alerta definido en Reporting Engine.
${count}     La cantidad de veces que se detecta una alerta en un marco de tiempo determinado. (De manera predeterminada, es un minuto)
${sa.host}     El nombre de host de Security Analytics como está configurado en Reporting Engine.
${device.id}      El ID de dispositivo de Security Analytics del origen de datos.

La sección Notificación de alerta tiene cuatro pestañas:

  • Registro
  • SMTP
  • SNMP
  • Syslog

Pestaña Registro

La pestaña Registro permite definir la frecuencia de registro de una alerta y el mensaje que se desea generar cuando se activa la alerta.
106_alert_RECORD_pane.png

En la siguiente tabla se indican los diversos campos de la pestaña Registro y su descripción.

                     
CampoDescripción
EjecutarIndica la frecuencia para registrar una alerta.
  • Una vez: Registra la alerta solo una vez en función del intervalo de la alerta sin importar la frecuencia con que se active la alerta. Security Analytics registra la cantidad de veces que la alerta se activó realmente durante ese intervalo en el archivo de registro, de forma que los analistas sepan cuántas veces la alerta registró una coincidencia en un día determinado.
  • Cada evento: registra la alerta cada vez que se activa. Si una alerta se activa un número ilimitado de veces durante un día, se trata a menudo como ruido y se puede omitir, salvo en caso de alertas que requieren un monitoreo continuo, como los cambios de configuración de red y los ataques DDoS.

Nota: Seleccione la configuración Cada evento en la lista desplegable Ejecutar para las acciones de salida de SNMP y syslog. 

CuerpoIndica el cuerpo del mensaje.
Plantilla de cuerpo(Opcional) Si se han definido plantillas, puede seleccionar una plantilla para el mensaje de la alerta. 

Pestaña SMTP

La pestaña SMTP le permite definir la salida SMTP (correo electrónico) de esta alerta.
106_alert_SMTP_pane.png

En la siguiente tabla se indican los diversos campos de la pestaña SMTP y su descripción.

                             
CampoDescripción
EjecutarIndica la cantidad de veces que desea enviar un correo electrónico de la alerta.
  • Una vez : se envía solo un correo electrónico por intervalo, si la alerta se activa en ese intervalo, independientemente de cuántas alertas se activan.
  • Cada evento: se envía un correo electrónico con la alerta por cada evento en el cual se cumplen los criterios de la regla.
ParaIdentifica la dirección de correo electrónico o una lista de direcciones de correo electrónico separadas por comas a las cuales desea enviar esta alerta. 
AsuntoIndica el asunto del mensaje de correo electrónico.
CuerpoIndica el cuerpo del mensaje.
Plantilla de cuerpo(Opcional) Si se definieron plantillas, seleccione una para el mensaje de SMTP, la cual puede utilizar tal como está o modificar.

Pestaña SNMP

La pestaña SNMP le permite definir la salida SNMP de la alerta.
106_alert_SNMP_pane.png
En la siguiente tabla se indican los diversos campos de la pestaña SNMP y su descripción.

                     
CampoDescripción
EjecutarIndica la cantidad de veces que desea enviar una salida SNMP de la alerta.
  • Una vez: se envía un mensaje SNMP junto con un correo electrónico por intervalo, si la alerta se activa en ese intervalo, independientemente de cuántas alertas se activan.
  • Cada evento: se envía un mensaje SNMP con la alerta por cada evento en el cual se cumplen los criterios de la regla.
CuerpoIndica el cuerpo del mensaje.
Plantilla de cuerpo(Opcional) Si se definieron plantillas, seleccione una para el mensaje de SNMP, la cual puede utilizar tal como está o modificar.

Pestaña Syslog

La pestaña Syslog le permite definir la salida de mensaje syslog de esta alerta.
106_alert_Syslog_pane.png

Haga clic en add_button.png para agregar la configuración de syslog a una alerta. Aparece el cuadro de diálogo Nueva configuración de syslog:
106_new_syslog_config_dialog.png
En la siguiente tabla se describen los campos del cuadro de diálogo Nueva configuración de syslog:

                                 
CampoDescripción
Configuraciones de syslogIndica la configuración de syslog definida en el panel Configuración de syslog de la vista Configuración de dispositivo.
EjecutarIndica la cantidad de veces que desea enviar una salida de syslog de la alerta.
  • Una vez: se envía una salida de syslog junto con un correo electrónico por intervalo, si la alerta se activa en ese intervalo, independientemente de cuántas alertas se activan.
  • Cada evento: se envía una salida de syslog con la alerta por cada evento en el cual se cumplen los criterios de la regla.
FuncionalidadIndica el tipo de programa que registra el mensaje. Varios ejemplos del tipo de programa: syslog, demonio, correo, kernel.
GravedadIndica el nivel de gravedad de la alerta activada.
  • Emergencia
  • Alerta
  • Critical
  • Error
  • Advertencia
  • Aviso
  • Creación de informes
  • Depurar
CuerpoIndica el cuerpo del mensaje.
Plantilla de cuerpo(Opcional) Si se definieron plantillas, seleccione una para el mensaje de syslog, la cual puede utilizar tal como está o modificar.

Sección Descripción de alerta

La sección Descripción de alerta permite proporcionar una descripción de la alerta.
106_alert_descr_pane.png

E la tabla siguiente se describen los campos de la sección Descripción de alerta.

                     
CampoDescripción
DescripciónIdentifica la descripción de la alerta.
CrearCrea una alerta. (Se muestra esta opción cuando se crea una alerta.)
GuardarGuarda los cambios realizados a la alerta. (Se muestra esta opción cuando se modifica una alerta.)
Previous Topic:Vista Alerta
You are here
Table of Contents > Referencias del módulo Reporting > Referencias de alertas > Vista Crear o modificar alerta

Attachments

    Outcomes