ESM : Créer des groupes de sources d'événements

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 3Show Document
  • View in full screen mode
 

Les administrateurs doivent recevoir des notifications lorsque les sources d'événements ne sont plus collectées par NetWitness Platform. Ils doivent pouvoir configurer la durée pendant laquelle les sources d'événements peuvent rester silencieuses (noncollecte de messages log) avant d'envoyer une notification basée sur différents facteurs.

RSA NetWitness Platform fournit des groupes de sources d'événements pour que vous puissiez regrouper des appareils d'importance similaire. Vous pouvez créer des groupes d'après les attributs que vous avez importés à partir de votre CMDB (base de données de gestion de configuration), ou en choisissant manuellement les sources d'événements à ajouter au groupe.

Par exemple, voici quelques-uns des types de groupes de source d'événement que vous pouvez créer :

  • Source PCI
  • Contrôleurs de domaine Windows
  • Sources silencieuses
  • Serveurs de finance
  • Appareils haute priorité
  • Toutes les sources Windows

Procédure

Pour créer un groupe de source d'événement :

  1. Accédez à Administrateur > Sources d’événement.
  2. Dans le panneau Gérer, cliquez sur .

    La boîte de dialogue Créer un groupe d'événements s'affiche.

    Create an event group dialog is displayed.

  3. Saisissez un nom de groupe.
  4. Saisissez une description.
  5. Cliquez sur add_icon.png pour ajouter une condition. Continuez d'ajouter des conditions selon le besoin. Pour plus de détails sur les conditions de construction, voir Créer/modifier un formulaire de groupe.
  6. Cliquez sur Enregistrer.

    Le nouveau groupe est indiqué dans le panneau Gérer.

Exemples

Cette section décrit un exemple isolé, puis indique comment configurer un groupe de règles plus complet.

Exemple isolé

Si vous souhaitez créer un groupe de sources d'événements qui contient toutes vos sources d'événements haute priorité, cet exemple décrit les étapes nécessaires.

  1. Accédez à Administrateur > Sources d’événements.
  2. Dans le panneau Gérer > Groupes, cliquez sur add_icon.png.
  3. Saisissez Appareils haute priorité pour le nom du groupe.
  4. Saisissez une description, telle que « Ces appareils sont notre première priorité et doivent être étroitement surveillés. »
  5. Laissez Tous sélectionné et cliquez sur add_icon.png pour ajouter une condition.
  6. Sélectionnez Ajouter une condition dans le menu déroulant.

    1. Sélectionnez un attribut : Priorité.
    2. Sélectionnez un opérateur : Inférieur à.
    3. Saisissez une valeur : 2.

      La figure suivante affiche la boîte de dialogue Modifier le groupe d'événements mise à jour.

    4. Edit Event Group dialog is displayed.

  7. Cliquez sur Enregistrer.

Exemple complexe

Dans cet exemple, vous devez créer une règle assez complexe : associer des sources d'événements qui sont aux États-Unis et dans les services Ventes, Finance ou Marketing. De même, associez des sources d'événements de ventes internes et haute priorité dans le monde entier. Une priorité élevée doit être attribuées aux priorités 1 ou 0. Logiquement, la définition est la suivante :

(Country=United States AND (Dept.=Sales OR Dept.=Finance OR Dept.=Marketing))
OR
(Priority < 2 AND Division != External AND Dept.=Sales)

La figure suivante est un exemple de critères de création d'un groupe de sources d'événements.

Example criteria for creating an Event Source Group.

You are here
Table of Contents > Gérer des groupes de sources d'événements > Créer des groupes de sources d'événements

Attachments

    Outcomes