ESM : Onglet Découverte

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 3Show Document
  • View in full screen mode
 

Pour accéder à l’onglet Découverte, dans NetWitness ADMIN> Sources d'événements. L'onglet Découverte s'affiche.

L'onglet Découverte vous permet d'examiner les types de sources d'événements que NetWitness a découvert pour chaque adresse et le degré de précision avec lequel le système les a identifiés. Si les types de sources d'événements découverts sont corrects, vous pouvez accepter de filtrer cette source d'événement. S'ils sont incorrects, vous pouvez définir les types de sources d'événements autorisés pour une adresse particulière afin que les futurs logs puissent être analysés par rapport aux analyseurs corrects.

Remarque : Les fonctionnalités suivantes s'appliquent à RSA NetWitness® Platform, version 11.1 et ultérieure:
- Reconnaissance de plusieurs sources d'événements
- Filtrage par type de source d'événement
- (version 11.2 et versions ultérieures) Les options de filtrage d’adressage incluent Aucun, Auto et Manuel
- Adressage de plusieurs sources d'événements
- Recherche de sources d'événements la page Découverte de source d’événement

Le système RSA NetWitness® Platform version 11.2 et versions ultérieures, mappe automatiquement les événements entrants sur un type en fonction des logs précédents provenant de cette adresse, ce qui réduit le nombre d'éléments analysés de manière incorrecte ou nécessitant une attention particulière dans le workflow de découverte. Une valeur Auto dans la colonne Type de mappage indique qu'une adresse a été mappée automatiquement.

Workflow

Ce workflow montre l’ensemble du processus de configuration des sources d’événements.

Que voulez-vous faire ?

                                 
RôleJe souhaite...Documentation
Administrateur

Reconnaître et mapper les sources d'événements.*

Acquittement et adressage des sources d’événement

Administrateur

Ajouter et configurer des mappages d'analyseur pour un Log Decoder.*

Gérer les mappages d'analyseurs

AdministrateurAfficher les alarmes des sources d'événementsAffichage des alarmes des sources d'événements

Administrateur

Résoudre les problèmes de gestion de source d’événements.

Dépannage ESM et annexe

*Vous pouvez effectuer cette tâche ici.

Rubriques connexes

Gérer les mappages d'analyseurs

Vue Détails

Aperçu rapide

L'exemple suivant affiche une liste d'adresses et les types de sources d'événements découverts. Les types de sources d'événements affichent les sources d'événements qui ont été découvertes.

Voici un exemple de l'onglet.

                                                                 
1

Affiche le panneau Filtres et Source d'événement avec l'onglet Découverte ouvert.

2

Affiche le champ Filtrer la source d'événements avec un menu déroulant proposant les options suivantes :

  • Saisissez l'adresse complète ou partielle (IP, IPv6 ou nom d'hôte) de la ou les sources à examiner. Vous pouvez également saisir plusieurs entrées séparées par des virgules.
    Par exemple, 10.10.10.10,10.10.10.11,host1.company.com
  • Exact : Retourne des sources qui correspondent complètement au terme de recherche.
    Par exemple, 10.10.10.10 retourne uniquement 10.10.10.10, et non pas 10.10.10.101.
  • Commence par : Retourne les sources qui commencent par le terme de recherche.
    Par exemple,10.10.10. retourne le sous-réseau 10.10.10. x entier.
  • Contient : Retourne les sources qui commencent par le terme de recherche.
    Par exemple, exch retourne tous les termes tels que us-exch-1.company.com, ou lab21 retourne tous les termes hostx.lab21.company.com.
  • Se termine par : Retourne des sources qui se terminent par le terme de recherche.
    Par exemple, lab21.company.com retourne tous les hôtes.

Remarque : Lorsque vous spécifiez la chaîne de recherche, vous pouvez utiliser. -: (point, tiret, deux points).

3Le menu déroulant Type de source d'événements permet de filtrer les adresses contenant tous les types de sources d'événements sélectionnés.
4
  • Cochez la case Afficher la confirmation pour afficher les sources d’événement confirmées.
  • Les options de filtrage d’adressage peuvent inclure un seul des types d’adressage répertoriés dans le panneau de filtrage, ou plusieurs types d’adressage peuvent être sélectionnés.

Remarque : Si aucune option de filtrage dùadressage n'est sélectionnée, le choix par défaut affichera les types d’adressage Tous, Aucun, Manuel, et Auto.

5
  • Le bouton Appliquer permet d’utiliser tous les critères définis dans tous les filtres.
  • Le bouton Effacer efface tous les filtres du panneau.
6Permet de basculer les sources d'événements entre les états reconnus et non reconnus.
7Mapper les sources d'événements sélectionnées.
8Affiche le bouton Détails pour afficher les détails de la source d'événement sélectionnée.
9Affiche les adresses des sources d'événement sélectionnées.
10Affiche les scores de découverte des sources d'événement sélectionnées.
11Affiche si les sources d'événement sélectionnées ont été reconnues ou non.
12Affiche le type de mappage de la source d’événement sélectionnée : Automatique, Manuellement ou Aucun. Les modifications apportées au mappage ne sont affichées qu'ici.
13Affiche les noms d'hôte des Log Collectors où se trouvent les sources d'événements.
14Affiche les noms d'hôte des Log Decoders où se trouvent les sources d'événements.
15Affiche les types de sources d'événements découverts et leurs scores de découverte associés.

Barre d'outils et fonctions

L'onglet Découverte contient les fonctions suivantes :

                                           
ChampDescription

Outils 

Les éléments suivants sont disponibles dans la barre d'outils :

  • Afficher/masquer la confirmation : Permet de basculer l’état reconnu pour la source d'événements sélectionnée entre Oui et Non.
  • Carte : Ouvre la boîte de dialogue Gérer les mappages d'analyseur, dans laquelle vous pourrez mapper une source d'événements à l'analyseur de journal approprié.
  • Afficher les détails : Fournit des détails sur la source d'événement sélectionnée.

Source d'événement

IP, IPv6 ou nom d'hôte de la source d'événement.

Score de découverte

Affiche la note globale de découverte associée à cette adresse en particulier. Les scores les plus élevés indiquent une meilleure fiabilité. Les scores de découverte ont une valeur allant de 0 (score le moins sûr) à 100 (score le plus sûr).

Confirmé

Les sélections sont Oui (vous avez reconnu la source d'événement) ou
Non (vous n'avez pas reconnu la source d'événement).

Type de mappage

Les sélections sont Manuel (vous avez mappé la source d'événement), Auto (le système a automatiquement mappé la source d’événement), ou Aucun (vous n'avez pas mappé la source de l'événement).

L’adressage automatique prend en charge le contenu. Lorsqu'un message de journal est analysé sur un en-tête de haute confiance ou sur un message balisé, un adressage automatique sera défini pour cette adresse et le type. Cet adressage automatique est valide pendant 24 heures et sera renouvelé chaque fois qu'un message de journal correspond à un en-tête de message balisé.

Les messages de journal sont d'abord analysés par rapport aux analyseurs mappés automatiquement et ne sont réacheminés vers la découverte que s'il n'existe aucune correspondance entre les analyseurs mappés. Les messages de journal qui sont réacheminés vers la découverte peuvent correspondre aux en-têtes ou aux messages balisés provenant d'autres sources d'événements : il en résulte plusieurs types en cours d’adressage.

Par exemple, une adresse peut éventuellement être mappée à Windows, MS SQL et Apache, et ces analyseurs sont évalués en premier. Si une source d'événements est déclinée et que son adresse IP est réaffectée, le minuteur de 24 heures rend obsolètes les adressages des types désaffectés.

Remarque : Cette fonctionnalité s'applique à RSA NetWitness version 11.2 et versions ultérieures.

Service(s) Log Collector

Services Log Collector ayant reçu des logs à partir de cette adresse de source d'événement.

Service(s) Log Decoder

Services Log Decoder ayant reçu des logs à partir de cette adresse de source d'événement.

Type(s) de source d'événement

Types d'adresses de sources d'événements analysés et score de découverte correspondant pour chaque type.

Remarque : Les scores de découverte ne sont disponibles que pour les services Log Decoder 11.0 et versions ultérieures. Les scores de découverte pour les versions Log Decoders antérieures à 11.0 s'affichent comme étant non disponibles.

Le tableau suivant décrit l'ordre de tri des scores de découverte. Pour accéder au menu déroulant Ordre de tri, cliquez sur la flèche vers le bas de la colonne Sources d'événements.

                       
ChampDescription

Tri croissant

Trie la colonne par son score de découverte dans l'ordre croissant.

Tri décroissant

Trie la colonne par son score de découverte dans l'ordre croissant.

Colonnes

Permet de masquer ou d’afficher une ou plusieurs colonnes.

Previous Topic:Références 
Next Topic:Onglet Gérer
You are here
Table of Contents > Références  > Onglet Découverte

Attachments

    Outcomes