ESM: Crear grupos de orígenes de eventos

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

Los administradores deben recibir notificaciones cuando NetWitness Suite ya no recopila orígenes de eventos. Deben poder configurar cuánto tiempo pueden estar inactivos los orígenes de eventos (es decir, sin recopilar mensajes de registros) antes de que se envíe una notificación en función de distintos factores.

RSA NetWitness Suite proporciona grupos de orígenes de eventos de modo que pueda agrupar dispositivos de similar importancia. Puede crear grupos en función de los atributos que importó desde la CMDB (base de datos de administración de configuración) o de forma manual si selecciona los orígenes de eventos que agregará al grupo.

Por ejemplo, estos son algunos de los tipos de grupos de orígenes de eventos que puede crear:

  • Orígenes de PCI
  • Controladoras de dominio de Windows
  • Orígenes inactivos
  • Servidores de financiamiento
  • Dispositivos de prioridad alta
  • Todos los orígenes de Windows

Procedimiento

Para crear un grupo de orígenes de eventos:

  1. Vaya a ADMIN > Orígenes de evento.
  2. En el panel Administrar, haga clic en .

    Se muestra el cuadro de diálogo Crear un grupo de eventos.
    Se muestra el cuadro de diálogo Crear un grupo de eventos.

  3. Ingrese un nombre del grupo.
  4. Escriba una descripción en Description.
  5. Haga clic en add_icon.png para agregar una condición. Continúe agregando condiciones según sea necesario. Para obtener detalles sobre la elaboración de condiciones, consulte Formulario Crear/Editar grupo.
  6. Haga clic en Guardar.

    El nuevo grupo se muestra en el panel Administrar.

Ejemplos

En esta sección se describe un ejemplo simple y, a continuación, se analiza cómo se configura un conjunto de reglas más complejo.

Ejemplo simple

Si desea crear un grupo de orígenes de eventos que contiene todos los orígenes de eventos de prioridad alta, en este ejemplo se describen los pasos necesarios.

  1. Vaya a ADMIN > Orígenes de evento.
  2. En el panel Administrar > Grupos, haga clic en add_icon.png.
  3. Ingrese Dispositivos de prioridad alta como el nombre del grupo.
  4. Ingrese una descripción, como “A estos dispositivos se les dio la prioridad más alta y se deben monitorear cuidadosamente”.
  5. Deje seleccionada la opción Todas estas y haga clic en add_icon.png para agregar una condición.
  6. Seleccione Agregar condición en el menú desplegable.

    1. Seleccione un atributo: Prioridad.
    2. Seleccione un operador: Menor que.
    3. Ingrese un valor: 2.

      En la siguiente figura se muestra el cuadro de diálogo Editar grupo de eventos actualizado.

    4. Se muestra el cuadro de diálogo Editar grupo de eventos.
  7. Haga clic en Guardar.

Ejemplo complejo

En este ejemplo se desea crear una regla bastante compleja: hacer coincidir los orígenes de eventos que están en Estados Unidos y en los departamentos de ventas, financiamiento o marketing. Además, hacer coincidir orígenes de eventos de ventas internos y de prioridad alta en todo el mundo. Se asume que la Alta prioridad es donde la prioridad es 1 o 0. Lógicamente, la definición es la siguiente:

(Country=United States AND (Dept.=Sales OR Dept.=Finance OR Dept.=Marketing))
OR
(Priority < 2 AND Division != External AND Dept.=Sales)

En la siguiente figura se presenta un ejemplo de los criterios para crear un grupo de orígenes de eventos como este.

Criterios de ejemplo para crear un grupo de orígenes de eventos.

You are here
Table of Contents > Administrar grupos de orígenes de eventos > ESM: Crear grupos de orígenes de eventos

Attachments

    Outcomes