Informes: Panel Crear/modificar alerta

Document created by RSA Information Design and Development on May 1, 2018
Version 1Show Document
  • View in full screen mode

El panel Crear/modificar alerta es un panel de la vista Lista de alertas. Este panel permite crear o modificar una alerta según sea necesario.

Flujo de trabajo

flujo de trabajo de la vista de alertas

¿Qué desea hacer?

                                           
FunciónDeseo…Documentación

Administrador/analista

Configurar Reporting Engine

Configurar Reporting Engine

Administrador/analista

Configurar una alerta*

Configurar una alerta

Administrador/analista

Programar una alertaProgramar una alerta

Administrador/analista

Ver una alerta

Ver una alerta

Administrador/analistaInvestigar una alertaInvestigar una alerta
Administrador/analistaAdministrar una alerta y una plantilla de alertaAdministrar una alerta y una plantilla de alerta

*Puede realizar estas tareas aquí.

Temas relacionados

Descripción general de alertas

Configurar una alerta

Vista rápida

La siguiente figura es un ejemplo con funciones importantes etiquetadas.

crear/modificar alerta

                             
1Haga clic en MonitorInformes para ver la pestaña Administrar.
2Haga clic en Alertas para abrir la vista Alerta.
3

Haga clic en para navegar al panel Crear/modificar alerta.

4Habilite la alerta, navegue a la regla y seleccione un origen de datos para la alerta.
5Escriba una descripción breve de una alerta.
6Defina los métodos de notificación de las alertas (REGISTRO, SMTP, SNMP y Syslog) cuando se cumpla una condición de alerta.

El panel Crear/modificar alerta tiene las siguientes secciones:

  • Definición de alerta
  • Descripción de alerta
  • Notificación de alerta

Definición de alerta

En la siguiente tabla se describen los campos de Definición de alerta:

                         
CampoDescripción
Habilitar
  • Habilitar activa la alerta. La alerta se ejecuta y envía acciones de salida a cada minuto (de forma predeterminada) cuando se cumplen sus condiciones.
  • Deshabilitar deshabilita la alerta. La alerta no se ejecuta y no envía acciones de salida.
Base de la reglaHaga clic en Navegar para mostrar el panel Biblioteca de reglas, en el cual selecciona la regla que es la base de esta alerta.
Debe seleccionar una regla que tenga una cláusula “where” única para una alerta.
Orígenes de datosEspecifica el origen de datos de una alerta.
Migrar a decodificadoresEnvía la cláusula “where” de la regla de alerta a los Decoders conectados al origen de datos de NWDB seleccionado. Esta es la opción recomendada que se usa para crear alertas de RE, ya que las condiciones de alerta se comprueban en el Decoder y las consultas de alerta serán comparativamente más rápidas en NWDB.
Si deselecciona esta opción, la cláusula “where” de la regla de alerta se consultará contra el origen de datos de NWDB seleccionado. Según la complejidad y los metadatos en la cláusula “where” de la regla, podría ser más lento procesar las consultas de la alerta en NWDB.

Nota: NetWitness no envía reglas al Decoder de forma automática.

Descripción de alerta

En la tabla siguiente se describen los campos de Descripción de alerta:

                     
CampoDescripción
DescripciónDescribe la alerta.
CrearCrea una alerta. (Se muestra esta opción cuando se crea una alerta.)
GuardarGuarda los cambios realizados a la alerta. (Se muestra esta opción cuando se modifica una alerta.)

Notificación de alerta

Notificación de alerta permite definir la acción de notificación que realiza NetWitness cuando se genera una alerta, por ejemplo, la alerta se registra o se envía mediante una de las acciones de salida definidas. Las acciones de salida son Protocolo simple de transferencia de correo (SMTP), Protocolo simple de administración de redes (SNMP) o mensaje de syslog.

De manera predeterminada, Notificación incluye la pestaña Registro, la que se usa para crear una alerta. El ícono junto a la pestaña Registro permite seleccionar el tipo de notificación en la lista desplegable para la salida que se especificará para la alerta: SMTP, SNMP o syslog.

Según el tipo de notificación seleccionado, la sección Notificación se completa con texto predefinido que contiene variables que agregan metadatos apropiados para la alerta. En Reporting Engine, estas variables se reemplazan por valores reales. En la siguiente tabla se indican las variables y sus descripciones.

                                 
VariableDescripción
${meta.<metakey>} El valor de clave de metadatos.

Nota: Si <metakey> no recuperó ningún valor, se imprime una cadena vacía (“”). 
De forma predeterminada, Reporting Engine muestra todos los valores repetidos para una clave de metadatos. Si no desea que los valores de metadatos se repitan en la salida de la alerta, habilite la opción “removeRepeatedMetaValue”, para lo cual debe navegar a Configuración > Configuración de alerta disponible para Reporting Engine en la vista Configuración de servicios > Explorar.
Por ejemplo, en una sesión de HTTP, el valor correspondiente a la acción se muestra como get, get, put, put, post, get. Cuando esta opción está habilitada, el valor se muestra como get, put, post.

${meta.time} / ${meta.time:<time_format>} ${meta.time}: La hora de la sesión se imprime en formato “aaaa-MMM-dd HH:mm:ss”.
${meta.time:<time_format>} : La hora de la sesión se imprime en el formato de hora personalizado definido por el usuario. Por ejemplo, ${meta.time:dd-MM-yyyy HH:mm:ss}.
Para obtener más información sobre los formatos de hora compatibles, consulte  http://docs.oracle.com/javase/7/docs/api/java/text/SimpleDateFormat.html

Nota: Si el formato de hora que proporciona el usuario no es válido, se utilizará el formato de hora predeterminado. El formato de hora predeterminado es “aaaa-MMM-dd HH:mm:ss”.

${name}      El nombre de alerta definido en Reporting Engine.
${count}     La cantidad de veces que se detecta una alerta en un marco de tiempo determinado. (De manera predeterminada, es un minuto)
${nw.host}     El nombre de host de NetWitness como está configurado en Reporting Engine.
${device.id}      El ID del dispositivo NetWitness del origen de datos.

Notificación de alerta tiene cuatro pestañas:

Pestaña Registro

Use la pestaña Registro para definir la frecuencia de registro de una alerta y el mensaje que se generará cuando se active una alerta.

panel registro de alertas

En la siguiente tabla se indican los campos de la pestaña Registro y su descripción.

                     
CampoDescripción
EjecutarLa frecuencia con que se registra una alerta.
  • Una vez: Registra la alerta solo una vez en función del intervalo de la alerta sin importar la frecuencia con que se genere la alerta. NetWitness registra la cantidad de veces que la alerta se generó realmente durante ese intervalo en el archivo de registro, de forma que los analistas sepan cuántas veces la alerta registró una coincidencia en un día determinado.
  • Cada evento: Registra la alerta cada vez que se genera. Si una alerta se genera un número ilimitado de veces durante un día, se trata a menudo como ruido y se puede omitir, salvo en caso de alertas que requieren un monitoreo continuo, como los cambios en la configuración de red y los ataques DDoS.

Nota: Seleccione la configuración Cada evento en la lista desplegable Ejecutar para las acciones de salida de SNMP y syslog. 

CuerpoEl cuerpo del mensaje.
Plantilla de cuerpo(Opcional) Si se definieron plantillas, seleccione una para el mensaje de la alerta. 

Pestaña SMTP

La pestaña SMTP le permite definir la salida SMTP (correo electrónico) de esta alerta.

panel SMTP de alertas

En la siguiente tabla se indican los campos de la pestaña SMTP y su descripción.

                             
CampoDescripción
EjecutarLa frecuencia con que se envía un mensaje de correo electrónico para la alerta.
  • Una vez: Envía solo un correo electrónico por intervalo, si una alerta se genera en ese intervalo, independientemente de cuántas alertas se generan.
  • Cada evento: Se envía un correo electrónico con la alerta por cada evento en el cual se cumplen los criterios de la regla.
ParaLas direcciones de correo electrónico a las que se enviará esta alerta. 
AsuntoEl asunto del mensaje de correo electrónico.
CuerpoEl cuerpo del mensaje.
Plantilla de cuerpo(Opcional) Si se definieron plantillas, seleccione una para el mensaje de SMTP, la cual puede utilizar tal como está o modificar.

Pestaña SNMP

La pestaña SNMP permite definir la salida SNMP de la alerta.

panel SNMP de alertas
En la siguiente tabla se indican los diversos campos de la pestaña SNMP y su descripción.

                     
CampoDescripción
EjecutarLa frecuencia con que se envía una salida SNMP para una alerta.
  • Una vez: Se envía un mensaje SNMP junto con un correo electrónico por intervalo, si una alerta se genera en ese intervalo, independientemente de cuántas alertas se generan.
  • Cada evento: Se envía un mensaje SNMP con la alerta por cada evento en el cual se cumplen los criterios de la regla.
CuerpoEl cuerpo del mensaje.
Plantilla de cuerpo(Opcional) Si se definieron plantillas, seleccione una para el mensaje de SNMP, la cual puede utilizar tal como está o modificar.

Pestaña Syslog

La pestaña Syslog le permite definir la salida de mensaje syslog de esta alerta.

panel syslog de alertas

Haga clic en para agregar la configuración de syslog a una alerta. Aparece el cuadro de diálogo Nueva configuración de syslog:

nueva configuración de syslog
En la siguiente tabla se describen los campos del cuadro de diálogo Nueva configuración de syslog:

                                 
CampoDescripción
Configuraciones de syslogLa configuración de syslog de la vista Configuración de dispositivo, que se encuentra en el panel Configuración de syslog.
EjecutarLa cantidad de veces que desea enviar una salida de syslog para la alerta.
  • Una vez: Se envía una salida de syslog junto con un correo electrónico por intervalo, si una alerta se genera en ese intervalo, independientemente de cuántas alertas se generan.
  • Cada evento: Se envía una salida de syslog con la alerta por cada evento en el cual se cumplen los criterios de la regla.
FuncionalidadEl tipo de programa que registra el mensaje. Algunos ejemplos del tipo de programa son syslog, demonio, correo y kernel.
GravedadEl nivel de gravedad de la alerta que se generó.
  • Emergencia
  • Alerta
  • Crítica
  • Error
  • Advertencia
  • Aviso
  • Creación de informes
  • Depurar
CuerpoEl cuerpo del mensaje.
Plantilla de cuerpo(Opcional) Si se definieron plantillas, seleccione una para el mensaje de syslog, la cual puede utilizar tal como está o modificar.
You are here
Table of Contents > Referencias de alertas > Panel Crear/modificar alerta

Attachments

    Outcomes