ESM: Pestaña Políticas de monitoreo

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

La pestaña Políticas de monitoreo organiza umbrales por grupo de orígenes de eventos.

Para acceder a esta pestaña, vaya a ADMIN > Orígenes de eventos. Se muestra la pestaña Administrar. Seleccione la pestaña Políticas de monitoreo.

Flujo de trabajo

En este flujo de trabajo se muestra el proceso general de configuración de orígenes de eventos.

En este flujo de trabajo se muestra el proceso general de configuración de orígenes de eventos.

¿Qué desea hacer?

                       
FunciónDeseo…Mostrarme cómo
Administrador

Administrar configuraciones de alertas para orígenes de eventos.

Configurar alertas de grupo de orígenes de eventos

Administrador Organizar los umbrales por grupo de orígenes de eventos.

Configurar alertas de grupo de orígenes de eventos

Temas relacionados

Configurar alertas de grupo de orígenes de eventos

Configuración de notificaciones

Deshabilitación de notificaciones

Vista rápida

La pestaña Políticas de monitoreo consta de tres paneles:

  • Panel Grupos de eventos
  • Panel Umbrales
  • Panel Notificaciones

Este es un ejemplo de la pestaña Políticas de monitoreo.

Ejemplo de pantalla Políticas de monitoreo.

                 
1Muestra el panel Grupos.
2Muestra el panel Umbrales.
3Muestra el panel Notificaciones.

Panel Grupos de eventos

Ejemplo del panel Grupos de eventos.

El grupo que se selecciona en este panel determina los umbrales que aparecen en el panel Umbrales. Puede definir un conjunto de umbrales para cada grupo de orígenes de eventos. Tenga en cuenta que los grupos se enumeran en un orden específico:

  • Arrastre y suelte grupos para cambiar el orden especificado.
  • Cuanto más alto se enumere un grupo, mayor será la prioridad de los umbrales de ese grupo: RSA NetWitness Suite comprueba los umbrales en el orden que se proporciona en este panel. De este modo, los grupos con prioridad más alta deben estar en la parte superior de esta lista

Panel Umbrales

Este es un ejemplo del panel Umbrales para un grupo de orígenes de eventos.

Ejemplo del panel Umbrales para un grupo de orígenes de eventos.

El panel Umbrales incluye las siguientes funciones.

                               
FunciónDescripción
Habilitar

La casilla de verificación Activar determina si los umbrales que define para un grupo están o no habilitados. Si lo están, se envían notificaciones cada vez que los umbrales para ese grupo están fuera del rango definido. Si no, ese grupo de orígenes de eventos no se monitorea.

Nota: Si configura un umbral e intenta guardar la página sin habilitarlo, recibirá un mensaje de confirmación, donde se le preguntará si desea habilitar la política.

Si habilita una política, pero no ha configurado umbrales, puede seguir recibiendo notificaciones automáticas (base), siempre y cuando las haya activado.

Consulte a continuación para obtener más detalles sobre la apariencia de las notificaciones.

Menor cantidad de eventos
Menor cantidad de minutos u horas

Este es el límite inferior del umbral. Ingrese la menor cantidad de eventos y el rango de tiempo. Si el grupo de orígenes de eventos recibe menos mensajes de los que se especifican aquí, el umbral no se alcanza y se envían notificaciones.

Mayor cantidad de eventos
Mayor cantidad de minutos u horas
Funciona de manera similar a los valores menores: si se reciben más mensajes de los que se especifican aquí, el umbral no se alcanza y se envían notificaciones.
Fecha y hora de la última modificaciónEste campo indica la última fecha y hora en que se cambiaron los umbrales.
GuardarGuarda los cambios que se hicieron en los umbrales.

Panel Notificaciones

Este es un ejemplo del panel Notificaciones para un grupo de orígenes de eventos.

Ejemplo del panel Notificaciones para un grupo de orígenes de eventos.

En la siguiente tabla se describen los campos del panel Notificaciones

                                       
CampoDescripción

Herramientas

+  -

En la barra de herramientas están disponibles los siguientes elementos:

  • Agregar (+): si se hace clic en Agregar, se presenta un menú que permite elegir el tipo de notificación.
  • Eliminar (-): elimina la fila seleccionada de la lista.
Configuración de notificaciones

Si se hace clic en este vínculo, se abre una nueva pestaña del navegador y se lo dirige a la página Admin > Sistema > Notificaciones en NetWitness Suite.

Tipo

Muestra el tipo de notificación que eligió. Las opciones disponibles son las siguientes:

  • Correo electrónico
  • SNMP
  • Syslog
Notificación Consulte el tema Configurar las salidas de las notificaciones de la Guía de configuración del sistema para obtener más detalles.

Servidor de notificación

Consulte el tema Configurar servidores de notificación de la Guía de configuración del sistema para obtener más detalles.
Plantilla

Para Administración de orígenes de eventos, RSA proporciona tres plantillas de uso inmediato para las notificaciones. Puede usar las siguientes plantillas como se entregan o puede personalizarlas en función de las necesidades de la organización:

  • Plantilla de correo electrónico: envía notificaciones a las direcciones de correo electrónico especificadas.
  • Plantilla SNMP: envía notificaciones al servidor SNMP especificado.
  • Plantilla de syslog: envía notificaciones al servidor de syslog especificado.

Consulte el tema Configurar plantillas para notificaciones de la Guía de configuración del sistema para obtener más detalles.

Supresión de salida Use este elemento para limitar la frecuencia con que se reciben notificaciones para esta política, en caso de que se activen muchas alertas en un periodo breve. 

Los siguientes son ejemplos de notificaciones que se basan en las plantillas proporcionadas.

Ejemplo de un cuadro de diálogo de notificación de monitoreo de origen de eventos.

  • Correo electrónico:

    En el caso de las notificaciones por correo electrónico, la tercera columna, Tipo de alarma, especifica si la alarma activada se basó en un umbral de usuario o si los datos de base están fuera de los límites normales. Si desactivó el monitoreo automático o las notificaciones, no recibirá notificaciones automáticas. Lo mismo es válido para Syslog y SNMP, excepto porque las notificaciones tienen un formato diferente.

  • SNMP trap:

     11-11-2015 11:57:33 Local7.Debug 127.0.0.1 community=public, enterprise=1.3.6.1.4.1.36807.1.20.1, uptime=104313, agent_ip=10.251.37.92, version=Ver2, 1.3.6.1.4.1.36807.1.20.1="NetWitness Suite Event Source Monitoring Notification: Group: PCI Event Source(s) High Threshold: Greater than 500 events in 5 minutes 10.17.0.10,ciscopix,Manual 10.17.0.13,ciscopix,Manual 10.17.0.8,ciscopix,Manual 10.17.0.8,ciscopix,Automatic 10.17.0.12,ciscopix,Manual 10.17.0.5,ciscopix,Manual 10.17.0.6,ciscopix,Manual 10.17.0.4,ciscopix,Manual 10.17.0.4,ciscopix,Automatic 10.17.0.3,ciscopix,Manual" 
  • Ejemplo de syslog:

     11-11-2015 11:57:33 User.Info 127.0.0.1 Nov 11 11:57:33 localhost CEF:0|RSA|NetWitness Suite Event Source Monitoring|10.6.0.0.0| HighThresholdAlert|ThresholdExceeded|1|cat=PCI Event Source(s)|Devices| src=10.17.0.10,ciscopix,Manual|src=10.17.0.13,ciscopix,Manual|src=10.17.0.8,ciscopix,Manual|src=10.17.0.8,ciscopix,Automatic|src=10.17.0.12,ciscopix,Manual|src=10.17.0.5,ciscopix,Manual|src=10.17.0.6,ciscopix,Manual|src=10.17.0.4,ciscopix,Manual|src=10.17.0.4,ciscopix,Automatic|src=10.17.0.3,ciscopix,Manual|
You are here
Table of Contents > Referencias > ESM: Pestaña Políticas de monitoreo

Attachments

    Outcomes