ESM: Alarmas y notificaciones

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

El módulo Origen de evento en NetWitness Suite muestra las alarmas y envía notificaciones en función de las alarmas que se activan.

Para las alarmas, considere lo siguiente:

Hay dos tipos de alarmas: automática (se activa cuando se superan o no se cumplen las bases) y manual (se configura con umbrales).

  • Automática: Si activa las alertas automáticas, el sistema informa las alarmas de todos los orígenes de eventos que están por encima o por debajo de su base normal en la cantidad requerida. Puede especificar el porcentaje en exceso/insuficiente en la Pestaña Ajustes de configuración.
  • Manual: Si apaga las alertas automáticas, recibirá alarmas solo para los grupos de orígenes de eventos para los cuales especificó, y habilitó, políticas (y umbrales).
  • Las alarmas aparecen en la interfaz del usuario, en la Pestaña Alarmas.

Para las notificaciones, considere lo siguiente:

  • Para recibir notificaciones manuales (a través de correo electrónico, SNMP o Syslog):

    • Especifique una política para un grupo de orígenes de eventos.
    • Configure un umbral alto o bajo (o ambos).
    • Habilite la política.
  • Para recibir notificaciones automáticas (base):

    • Las alertas de base deben estar activadas. Esta opción está habilitada de manera predeterminada.
    • Debe habilitar las notificaciones desde el monitoreo automático. Consulte Configuración de alertas automáticas para obtener detalles.
    • El origen de eventos que activa la alarma debe estar en un grupo que tenga habilitada una política.
  • Si activó la alerta automática y configuró una política y un umbral para un grupo:

    • Si el origen de evento queda fuera de su base, verá una alerta automática y recibirá una notificación.
    • Si el origen de evento queda fuera de sus umbrales, verá una alerta manual y recibirá una notificación.
    • Si se producen ambos escenarios (se supera o no se cumple el umbral y la base), recibirá dos alarmas (visibles en la pestaña Alarmas) y una notificación que indica ambas alarmas. Esa notificación indicará el origen de eventos que emitió dos veces la alarma; una de ellas indicará que se trató de una alarma automática.

Notificaciones por correo electrónico grandes

Si configuró notificaciones por correo electrónico, tenga presente que el correo electrónico puede crecer mucho de acuerdo con la cantidad de orígenes de eventos en la notificación.

Si los orígenes de eventos en el estado de alarma superan la cantidad de 10,000, la notificación por correo electrónico incluirá únicamente los detalles de los primeros 10,000 y un conteo total. Esto es para asegurarse de que el correo electrónico se entregue correctamente.

En los siguientes ejemplos se muestra un umbral bajo activado para dos grupos de orígenes de eventos y un umbral alto activado de tres grupos de orígenes de eventos.

Notificación de monitoreo de origen de eventos muestra un umbral bajo de dos orígenes de eventos.

Notificación de monitoreo de origen de eventos muestra un umbral alto de más de 50 orígenes de eventos.

Umbrales superior e inferior activados

Puede haber ocasiones en que se activen las alarmas superior e inferior para un grupo de orígenes de eventos específico. La manera más fácil de saber cuándo sucede esto es leer el encabezado del correo electrónico, el cual establece claramente si se activan ambos umbrales, como se muestra en esta imagen:

Los umbrales alto y bajo de la notificación de monitoreo de origen de eventos se activan en el grupo ciscopix.

En este ejemplo, el encabezado señala “Se activó el umbral alto y el umbral bajo en el grupo ciscopix”. Para ver los detalles de los orígenes de eventos del umbral inferior, puede ser necesario desplazarse hacia abajo hasta pasar cientos, o incluso miles, de los orígenes de eventos del umbral superior.

You are here
Table of Contents > ESM: Acerca de la administración de orígenes de eventos > ESM: Alarmas y notificaciones

Attachments

    Outcomes