ESM : Reconnaissance et mappage des sources d’événements

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 3Show Document
  • View in full screen mode
 

Dans la version 11.1 RSA NetWitness® Platform, RSA a introduit l’adressage automatique. Le système mappe automatiquement les événements entrants sur un type en fonction des logs précédents provenant de cette adresse, ce qui réduit le nombre d'éléments nécessitant une attention particulière dans le workflow de découverte. L'interface utilisateur indique qu'une adresse a été mappée dans le workflow de découverte.

Reconnaître les types de sources d’événements

L’onglet Découverte vous permet d’examiner les types de source d’événement que NetWitness a découvert pour chaque adresse et le degré de précision avec lequel le système les a identifiés. Si les types de source d’événement découverts sont corrects, vous pouvez reconnaître pour filtrer cette source d’événement à partir de la vue par défaut. S'ils sont incorrects, vous pouvez définir les types de sources d'événement autorisés pour une adresse particulière afin que les futurs logs soient analysés par rapport aux analyseurs corrects.

Pour acquitter les sources d'événement :

  1. Accédez à Administrateur > Sources d’événements.

    L'onglet Découverte s'affiche.

  2. Sélectionnez une ou plusieurs sources d'événement.
  3. Cliquez sur Afficher/masquer la confirmation.

Notez les points suivants :

  • Une fois que les sources d'événement sont acquittées, elles ne s'affichent plus dans la colonne Type(s) de sources d'événement.
  • Le bouton Afficher/masquer la confirmation se comporte comme suit :

    • Si l'état Acquitté pour toutes les sources d'événement sélectionnées est le même, toutes les valeurs sont basculées. En d'autres cas, si vous sélectionnez uniquement les sources d’événement avec Oui dans la colonne Acquittée, la valeur passe sur Non pour toutes les sources. De même, si elles sont toutes définies sur Non dans la colonne Acquittée, la valeur passe sur Oui pour toutes les sources d'événement sélectionnées.
    • Si vous sélectionnez plusieurs sources d'événement, et que la valeur pour certaines est Oui et pour d'autres Non, si vous cliquez sur Afficher/masquer la confirmation, toutes les valeurs sont définies sur Oui pour les sources d'événement sélectionnées.

Remarque : Les sources d'événement acquittées ne sont pas affichées par défaut.

Adressage manuel des types de source d'événement

Lorsque des types de sources d’événement découverts ne sont pas complètement justes, vous pouvez adresser manuellement les analyseurs pour obtenir des informations supplémentaires.

Pour adresser une ou plusieurs sources d'événement :

  1. Accédez à Administrateur > Sources d’événements.

    L'onglet Découverte s'affiche.

  2. Sélectionnez une ou plusieurs sources d'événement.
  3. Cliquez sur Map button.

    La boîte de dialogue Gérer les mappages d'analyseurs s'affiche.

  4. Ajoutez ou supprimez des mappages d'analyseur et modifiez l'ordre de priorité en fonction des besoins de votre organisation. Pour plus d'informations, consultez Gérer les mappages d'analyseurs .

Remarque : Les scores de découverte des sources d’événements mappées sont répertoriés dans la colonne de Types de sources d’événements, du plus bas au plus élevé. Les scores de découverte ont une valeur allant de 0 (score le moins sûr) à 100 (score le plus sûr).

Affichage des logs à partir des versions de Log Decoder antérieures à 11.0

RSA NetWitness® Platform 11.0 permet désormais d’afficher un petit échantillon des logs récents pour certains périphériques via des onglets détaillés de la vue Découverte. Par défaut, les versions de Log Decoders antérieures à 11.0 ne possèdent pas la configuration requise pour activer cette fonction, mais quelques changements mineurs peuvent la rendre disponible. Pour plus d’informations, reportez-vous à l’Affichage des logs à partir des versions de Log Decoder antérieures à 11.0.

You are here
Table of Contents > Gérer des groupes de sources d'événements > Reconnaissance et adressage des sources d’événements

Attachments

    Outcomes