Reporting : Présentation des alertes

Document created by RSA Information Design and Development on Apr 24, 2018
Version 1Show Document
  • View in full screen mode

Des alertes peuvent être utilisées pour générer des informations en temps opportun à propos de problèmes de sécurité actuels, de vulnérabilités et d’attaques. Par exemple, lorsqu’un e-mail malveillant est envoyé à partir d’un compte compromis, il vous faut une alerte qui vous avertit automatiquement lorsqu’un tel événement se produit.

Les concepts suivants d’alerte vous permettront de mieux comprendre les règles d'alerte, les conditions, les notifications et les modèles.

Règles d’alerte

Les règles d’alerte spécifient la logique déterminant la génération d’alertes. Les règles d’alerte vous permettent de configurer les seuils et définissent le mode d’avertissement si ces limites sont dépassées. Par exemple, vous pouvez configurer une règle pour être alerté lorsque l’utilisation du CPU reste anormalement élevée pendant au moins 5 minutes.

Définitions des alertes

La définition d’alerte est similaire à la définition des règles pour des rapports. Ces règles doivent être définies en fonction de votre exemple d’utilisation. Pour définir une alerte, choisissez les règles d’alerte que vous définissez dans la vue Élaborer une règle. Vous sélectionnez cette règle lors de la définition d’une alerte.

Remarque : Vous pouvez uniquement créer une alerte à l’aide de règles définies pour la source de données NetWitness.

Une fois une alerte créée, ces données sont collectées par le Reporting Engine et affichées sur l’interface utilisateur.

Une fois une alerte définie, vous pouvez la planifier pour qu’elle s’exécute toutes les minutes (par défaut), maintenant ou très prochainement.

Remarque : Dans l'interface utilisateur NetWitness, quel que soit l'emplacement d'affichage de la date et de l'heure, le profil de fuseau horaire sélectionné par l'utilisateur est toujours respecté.

Définition d’alertes

Notifications d’alertes

Les composants suivants sont requis pour configurer les notifications d’alerte :

  • Serveur de notification – Le serveur de notification est utilisé pour envoyer des notifications d’alerte. Par exemple, le serveur de messagerie SMTP. Après avoir configuré un serveur de notification, vous pouvez l’ajouter à une règle. Lorsque la règle déclenche une alerte, la règle utilise ce serveur pour envoyer des notifications d'alerte.
  • Notifications – Ce sont des résultats d’alerte, qui peuvent être de type e-mail, SMTP, SNMP et Syslog.
  • Modèles – Le format prédéfini d’un message d’alerte.

À chaque fois que la condition de règle est rencontrée, des alertes sont générées en fonction du niveau de gravité et l’utilisateur est averti selon la méthode de notification définie pour cette alerte spécifique. Les différentes méthodes de notification sont les suivantes :

  • E-mail/SMTP : Le protocole SMTP (Simple Mail Transport Protocol) envoie des e-mails d’alerte concernant l’activité du système. Les alertes par e-mail peuvent être envoyées à leurs destinataires en sélectionnant SMTP comme type de notification.

  • SNMP : Le protocole SNMP (Simple Network Management Protocol) envoie des alertes à plusieurs ordinateurs concernant les traps SNMP. Des alertes SNMP peuvent être envoyées à d’autres ordinateurs en sélectionnant SNMP comme type de notification.
  • Syslog : Les alertes Syslog génèrent des notifications à partir des messages Syslog. Des alertes Syslog peuvent être envoyées en sélectionnant Syslog comme type de notification.

Des alertes peuvent être configurées pour notifier des événements qui nécessitent une attention particulière, ou en tant que mécanismes pour effectuer des actions automatisées en fonction des conditions configurées dans une alerte. Une alerte est envoyée lorsque les conditions au sein de l’entité ont répondu aux critères sélectionnés pour l’alerte. Les critères de notification déterminent quand et à quelle fréquence l’alerte est générée.

Modèles d'alerte

Les modèles d’alerte sont un format prédéfini pour un message d’alerte. Vous pouvez utiliser ces modèles pour créer des alertes.

Contrôle d'accès pour l’Alerting

En fonction du rôle d’utilisateur, l’utilisateur reçoit un ensemble spécifique d’autorisations d'accès pour gérer une alerte. L’administrateur gère les droits d’accès fournis pour chaque rôle d’utilisateur depuis l’onglet Administration > Sécurité > Rôles. Vous pouvez définir des autorisations d’accès aux rôles d’utilisateur pour gérer une alerte. Le module Reporting fournit un contrôle d'accès au niveau de l'alerte.

Remarque : Les autorisations d'alerte de Reporting Engine sont précédées par « RE » pour les distinguer de l’Event Streaming Analysis (ESA). 

Lorsque vous créez des utilisateurs et des rôles d’utilisateur, assurez-vous que les rôles que vous créez pour des tâches spécifiques ont accès à toutes les autorisations nécessaires. Cela peut nécessiter des autorisations à plusieurs niveaux de la hiérarchie des rôles.

Des alertes peuvent être combinées à un ensemble spécifique de rôles d'utilisateur de telle sorte que lorsqu'un utilisateur se connecte à NetWitness, les seules alertes auxquelles il peut accéder sont celles qui sont accessibles par le rôle auquel il appartient. Les utilisateurs appartenant à un rôle d'utilisateur avec l'accès en « lecture écriture » peuvent définir des alertes. L'accès peut être encore plus limité pour que les alertes ne soient accessibles que par ceux qui ont l'accès en « lecture seule ».

Au niveau de l'alerte, vous pouvez définir les autorisations d'accès suivantes pour les rôles d'utilisateur dans NetWitness :

  • Lecture et écriture
  • Lecture seule
  • Aucun accès

Remarque : Avant d'appliquer les autorisations d’alertes, l'autorisation par défaut définie pour tous les rôles d'utilisateur est « Aucun accès » et la case est désactivée.

Si vous souhaitez modifier l'autorisation d'accès pour un rôle d'utilisateur spécifique, vous devez la définir au niveau de l’alerte. Excepté pour les administrateurs, l'autorisation par défaut définie pour tous les autres rôles d'utilisateur est « Aucun accès ».

Ces deux scénarios sont expliqués brièvement :

  • Scénario 1 : Autorisations appliquées à l'alerte / aux règles basées sur le rôle d'utilisateur.
  • Scénario 2 : Autorisation de lecture seule appliquée aux règles de l'alerte.
                         
 

Rôle

(analystes)

Autorisations appliquées à l'alerte / aux règles basées sur le rôle d'utilisateur Autorisation (lecture seule) appliquée aux règles de l'alerte
Alerte Lecture et écriture Lecture et écriture Lecture et écriture

Règles

Lecture

Lecture

Lecture

Le rôle d'analyste de la sécurité est attribué à l’alerte et les autorisations sont définies pour les alertes de lecture et écriture.

Pour le scénario 1, chacun des niveaux a un ensemble d'autorisations en fonction du rôle d'utilisateur. Pour le scénario 2, l'autorisation de lecture est définie pour les règles, sauf que l'autorisation des règles ne doit pas être supérieure à l'autorisation des alertes.

Si l'autorisation des règles est supérieure à l'autorisation des alertes, l'autorisation n'est pas appliquée. Par exemple, si vous définissez les autorisations de l'alerte sur Aucun accès et si vous spécifiez l'option Appliquer l'autorisation en lecture seule aux règles des alertes, l'autorisation en lecture seule n'est pas définie pour les règles.

Contrôle d'accès pour une alerte lorsque plusieurs alertes sont sélectionnées

Lorsque vous souhaitez modifier les autorisations de plusieurs alertes, vous devez les sélectionner et définir leurs autorisations d'accès à l'aide du panneau Autorisations d'alerte. L'autorisation d'accès que vous choisissez est appliquée à toutes les alertes sélectionnées.

Se connecter en tant qu'utilisateur spécifique et afficher les détails d'accès

Lorsque vous vous connectez à l'interface utilisateur de NetWitness en tant qu'utilisateur ayant une autorisation d’accès en lecture, toutes les alertes sont annotées du symbole (). Lorsque vous cliquez sur ce symbole, la légende « Lecture seule » s'affiche dans le panneau Liste d’alertes.

Lorsque vous vous connectez à l'interface utilisateur de NetWitness en tant qu'utilisateur n’ayant pas d’autorisation d'accès en lecture et écriture sur une alerte, toutes les alertes sont annotées du symbole () et apparaissent en grisé sur le panneau Liste des alertes.

La figure suivante montre le panneau Liste des alertes lorsque vous êtes connecté avec une autorisation d'accès en lecture et écriture minimale.

alert diff user

Remarque : Si un utilisateur (autre que ADMIN) crée une alerte, ADMIN ne pourra pas accéder à cette alerte.

Le tableau suivant répertorie les différentes colonnes du panneau Autorisations d'alerte.

                               
ColonneDescription
RôlesLe rôle de l'utilisateur connecté dans l'interface utilisateur de NetWitness.
Lecture et écritureL'utilisateur peut accéder, visualiser, modifier, importer, exporter et supprimer l'alerte sur la page Alertes. L'utilisateur peut également modifier l'autorisation dans l'alerte.
accès en lecture seuleL'utilisateur peut uniquement accéder à l'alerte et la consulter sur la page Alertes.
Aucun accèsL'utilisateur ne peut pas accéder ou afficher l'alerte pour laquelle cette autorisation est définie. 
IconCheckbox.png Appliquer l'autorisation de lecture seule aux règles dans les alertes L’utilisateur peut automatiquement appliquer les autorisations aux règles dans les alertes.

Voici une vue d’ensemble du processus d’alerte complet :

workflow d’alertes

Pour configurer et générer une alerte dans Reporting Engine, procédez comme suit :

  1. Configurer le Reporting Engine
  2. Configurer une alerte
  3. Planifier une alerte
  4. Afficher une alerte
  5. Analyser une alerte
  6. Gérer une alerte et un modèle d’alerte
You are here
Table of Contents > Présentation des alertes

Attachments

    Outcomes