Informes: Descripción general de una alerta

Document created by RSA Information Design and Development on May 1, 2018
Version 1Show Document
  • View in full screen mode

Las alertas se pueden usar para generar información valiosa oportuna acerca de los problemas de seguridad actuales, las vulnerabilidades y las vulnerabilidades de seguridad. Por ejemplo, cuando se envía un correo electrónico malicioso desde una cuenta comprometida, necesitaría una alerta que notifique automáticamente cuando se produce dicho evento.

Los siguientes conceptos de alertas lo ayudarán a comprender más acerca de las reglas de alertas, las condiciones, las notificaciones y las plantillas.

Reglas de alertas

Las reglas de alertas especifican la lógica para la generación de alertas. Las reglas de alertas permiten configurar límites de umbral y definir cómo se debe notificar si se superan estos límites. Por ejemplo, puede configurar una regla para recibir una alerta si el uso de la CPU se mantiene anormalmente alto durante 5 minutos o más.

Alert Definitions

La definición de alerta es similar a la definición de reglas de los informes. Estas reglas se deben definir en función del caso de uso. Las definiciones de alerta se realizan mediante la selección de las reglas de alerta que define en la vista Crear regla. Seleccione esta regla durante la definición de una alerta.

Nota: Solo puede enviar alertas mediante reglas definidas para el origen de datos de NetWitness.

Una vez que se crea una alerta, estos datos se recopilan desde Reporting Engine y se muestran en la interfaz del usuario.

Una vez que se define una alerta, puede programarla para que se ejecute cada minuto (de forma predeterminada), en este momento o en el futuro cercano.

Nota: En la interfaz del usuario de NetWitness, dondequiera que se muestre la fecha y hora, siempre están de acuerdo con el perfil de zona horaria que seleccionó el usuario.

Definición de alerta

Notificaciones de alerta

Los siguientes son los componentes necesarios para configurar notificaciones de alerta:

  • Servidor de notificación: Se usa para enviar notificaciones de alerta. Por ejemplo, servidor de correo SMTP. Después de configurar un servidor de notificación, puede agregarlo a una regla. Cuando la regla activa una alerta, usará ese servidor para enviar notificaciones de alertas.
  • Notificaciones: Salidas de alertas, que pueden ser correo electrónico, SMTP, SNMP y syslog.
  • Plantillas: Formato predefinido de un mensaje de alerta.

Siempre que se encuentra la condición de regla, las alertas se generan en función del nivel de gravedad y se notifica al usuario según el método de notificación establecido para esa alerta específica. Los siguientes son los diversos métodos de notificación:

  • Correo electrónico/SMTP: El protocolo simple de transferencia de correo (SMTP) envía correos electrónicos de alerta relacionados con la actividad del sistema. Mediante la selección de SMTP como tipo de notificación, se pueden enviar alertas por correo electrónico a los destinatarios deseados.

  • SNMP: El protocolo simple de administración de red (SNMP) envía alertas a varias computadoras para los SNMP traps. Las alertas SNMP pueden enviarse a otras computadoras mediante la selección de SNMP como tipo de notificación.
  • Syslog: Las alertas de syslog generan notificaciones de mensajes de syslog. Mediante la selección de syslog como tipo de notificación se pueden enviar alertas de syslog.

Las alertas se pueden configurar para notificar eventos que requieren atención o como mecanismos para realizar acciones automatizadas en función de las condiciones que se configuran en una alerta. Se envía una alerta cuando las condiciones dentro de la entidad cumplen con los criterios seleccionados para la alerta. Los criterios de notificación determinan cuándo y con qué frecuencia se generó la alerta.

Plantillas de alerta

Las plantillas de alerta son el formato predefinido de un mensaje de alerta. Puede usar estas plantillas para crear alertas.

Control de acceso para una alerta

Según la función del usuario, se proporciona un conjunto específico de permisos de acceso para que administre una alerta. En Administration > Seguridad > Funciones, el administrador administra los derechos de acceso que se proporcionan a cada función de usuario. Puede configurar permisos de acceso para que las funciones de usuario administren una alerta. El módulo Reporting proporciona el control de acceso en el nivel de alertas.

Nota: Los permisos de alerta de Reporting Engine tienen el prefijo “RE” para distinguirlos de Event Streaming Analysis (ESA). 

Cuando crea usuarios y funciones de usuario, asegúrese de que las funciones que crea para tareas específicas tengan acceso a todos los permisos necesarios. Esto podría requerir permisos en varios niveles de la jerarquía de funciones.

Las alertas se pueden combinar con un conjunto específico de funciones de usuario de modo que, cuando un usuario inicie sesión en NetWitness, las únicas alertas a las que pueda acceder sean alertas accesibles a la función a la cual pertenece. Los usuarios que pertenecen a una función de usuario con el permiso de acceso “Lectura y escritura” pueden definir alertas. Además, el acceso se puede restringir de modo que solo accedan a las alertas quienes tengan el acceso de “Solo lectura”.

En el nivel de alerta, puede configurar los siguientes permisos de acceso para las funciones de usuario en NetWitness:

  • Lectura y escritura
  • Solo lectura
  • Sin acceso

Nota: Antes de aplicar permisos de alerta, el conjunto de permisos predeterminado para todas las funciones de usuario es el permiso “Sin acceso” y la casilla de verificación está deseleccionada.

Si desea cambiar el permiso de acceso para una función de usuario específica, debe configurar esto en el nivel de alerta. Excepto para los administradores, el conjunto de permisos predeterminado para todas las demás funciones de usuario es “Sin acceso”.

Los dos escenarios se explican de forma resumida:

  • Escenario 1: Permisos aplicados a alertas/reglas de acuerdo con la función del usuario.
  • Escenario 2: Permiso de solo lectura aplicado a las reglas de las alertas.
                         
 

Función

(Analistas)

Permisos aplicados a alertas/reglas de acuerdo con la función del usuario Permiso (de solo lectura) aplicado a las reglas de las alertas
Alerta Lectura y escritura Lectura y escritura Lectura y escritura

Reglas

Lectura

Lectura

Lectura

A la alerta se asigna la función de un analista de seguridad y los permisos se configuran en Lectura y escritura para las alertas.

En el escenario 1, cada uno de los niveles tiene un permiso configurado según la función del usuario. En el escenario 2 se configura el permiso de lectura para las reglas, salvo que el permiso para las reglas no debe ser mayor que el permiso para las alertas.

Si el permiso para las reglas es mayor que el permiso para las alertas, el permiso no se aplica. Por ejemplo, si configura los permisos para la alerta como Sin acceso y especifica la opción Aplicar permisos de solo lectura a las reglas de las alertas, el permiso de solo lectura no se configura para las reglas.

Control de acceso para una alerta cuando se seleccionan múltiples alertas

Cuando desea cambiar los permisos de varias alertas, debe seleccionar varias alerta y configurar sus permisos de acceso en el panel Permisos de alertas. El permiso de acceso que elige se aplica a todas las alertas seleccionadas.

Inicie sesión como un usuario específico y vea los detalles de acceso

Cuando inicia sesión en la interfaz del usuario de NetWitness como un usuario que tiene el permiso de acceso de lectura, todas las reglas se marcan con el símbolo () y, cuando hace clic en el símbolo, se muestra la leyenda “Solo lectura” en el panel Lista de alertas.

Cuando inicia sesión en la interfaz del usuario de NetWitness como un usuario que no tiene el permiso de acceso Lectura y escritura en una alerta, todas las alertas se marcan con el símbolo () y aparecen en gris en el panel Lista de alertas.

En la siguiente figura se muestra el panel Lista de alertas cuando se inicia sesión con un permiso de acceso de Lectura y escritura mínimo.

diferentes usuarios de alerta

Nota: Si un usuario (distinto del administrador) crea una alerta, el administrador no puede acceder a ella.

En la siguiente tabla se indican las diversas columnas del panel Permisos de alerta:

                               
ColumnaDescripción
FuncionesLa función del usuario que inició sesión en la interfaz del usuario de NetWitness.
Lectura y escrituraEl usuario puede acceder, ver, editar, importar, exportar y eliminar la alerta en la página Alertas. El usuario también puede cambiar el permiso en la alerta.
Solo lecturaEl usuario solo puede acceder a la alerta y verla en la vista Alertas.
Sin accesoEl usuario no puede acceder a una alerta ni verla cuando tiene configurado este permiso. 
IconCheckbox.png Aplicar permisos de solo lectura a las reglas de las alertas El usuario puede aplicar permisos a las reglas de las alertas de forma automática.

La siguiente es una descripción general de todo el proceso de emisión de alertas:

flujo de trabajo de alerta

Para configurar y generar una alerta en Reporting Engine, realice las siguientes tareas:

  1. Configurar Reporting Engine
  2. Configurar una alerta
  3. Programar una alerta
  4. Ver una alerta
  5. Investigar una alerta
  6. Administrar una alerta y una plantilla de alerta
You are here
Table of Contents > Descripción general de alertas

Attachments

    Outcomes