Configuration de Répondre : Onglet Règles d'agrégation

Document created by RSA Information Design and Development on Apr 23, 2018

Version 1Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

L’onglet Règles d’agrégation permet de créer et de gérer des règles d’agrégation pour automatiser le processus de création d’incidents. NetWitness Suite fournit 11 règles préconfigurées. Vous pouvez ajouter ces règles et les ajuster à votre propre environnement.

Que voulez-vous faire ?

Rôle	Je souhaite...	Me montrer comment
Analyste, expert du contenu, responsable du SOC	Créer une règle d'agrégation.	Étape 3. Créer une règle d'agrégation pour les alertes
Responsables de la réponse aux incidents, analystes, experts du contenu, responsable du SOC	Afficher les résultats de ma règle d’agrégation (vue Menaces détectées).	Reportez-vous à la rubrique « Réponse aux incidents » dans le NetWitness Respond Guide d’utilisation.

Rubriques connexes

Onglet Nouvelle règle

Règles d’agrégation

Pour accéder à l’onglet Règles d’agrégation, accédez à CONFIGURER > Règles d’incidents > Règles d’agrégation.

L'onglet Règles d'agrégation contient une liste et une barre d'outils.

Liste Règles d'agrégation

Le tableau suivant décrit les colonnes de la liste Règles d’agrégation.

Colonne	Description
Sélectionner	Vous permet de sélectionner une règle pour effectuer une action, par exemple un clonage ou une suppression.
Ordre	Indique l'ordre de placement de la règle. L'ordre des règles détermine la règle appliquée si les critères de plusieurs règles correspondent à la même alerte. Si deux règles correspondent à une alerte, seule la règle ayant la priorité la plus élevée est évaluée.
Nom	Affiche le nom de la règle.
Activée	Indique si la règle est activée ou non. indique que la règle est activée.
Description	Affiche la description de la règle.
Dernière correspondance	Affiche l’heure à laquelle l’alerte a été correctement mise en correspondance avec la règle. Cette valeur est réinitialisée une fois par semaine.
Alertes mises en correspondance	Affiche le nombre d'alertes mises en correspondance. Cette valeur est réinitialisée une fois par semaine. Pour modifier le paramètre, reportez-vous à la rubrique Définir le compteur des alertes et incidents rencontrés.
Incidents	Affiche le nombre d'incidents créés par la règle. Cette valeur est réinitialisée une fois par semaine. Pour modifier le paramètre, reportez-vous à la rubrique Définir le compteur des alertes et incidents rencontrés.