ESM: Informationen über Ereignisquellenmanagement

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Apr 28, 2019
Version 3Show Document
  • View in full screen mode
 

Mit dem Modul „Ereignisquelle“ in NetWitness Platform erhalten Sie eine einfache Methode, um Ereignisquellen zu managen und Warnmeldungsrichtlinien für die Ereignisquellen zu konfigurieren.

Workflow

Dieser Workflow veranschaulicht den allgemeinen Prozess zur Verwaltung von Ereignisquellen und die Konfiguration ihrer Überwachung. Er zeigt auch, an welcher Stelle im Prozess die Konfiguration von Alarmen und Warnmeldungseinstellungen angeordnet ist.

Voraussetzungen

Es gibt zwei Berechtigungen in Bezug auf Ereignisquellenmanagement:

  • Ereignisquellen anzeigen ist für die Benutzer erforderlich, um Ereignisquellen und deren Attribute, Schwellenwerte und Richtlinien anzuzeigen.
  • Ereignisquellen ändern ermöglicht den Benutzern, Ereignisquellen hinzuzufügen, zu bearbeiten und anderweitig zu aktualisieren.

Weitere Details finden Sie in den folgenden Themen:

  • Im Thema Registerkarte „Rollen“, verfügbar im Handbuch Systemsicherheit und Benutzerverwaltung > Referenzen > Ansicht „Administration > Sicherheit > Registerkarte „Rollen“
  • Im Thema Rollenberechtigungen werden die integrierten NetWitness Platform-Systemrollen beschrieben, die den Zugriff auf die Benutzeroberfläche steuern. Verfügbar im Handbuch Systemsicherheit und Benutzerverwaltung > So funktioniert Role-Based Access Control.
  • Im Thema Managen von Benutzern mit Rollen und Berechtigungen wird beschrieben, wie Sie in NetWitness Platform mithilfe von Rollen und Berechtigungen Benutzer managen. Verfügbar im Handbuch Systemsicherheit und Benutzerverwaltung > Managen von Benutzern mit Rollen und Berechtigungen.

AutomatischeZuordnung?

Seit der Einführung von RSA NetWitness® Platform Version 11.1 ordnet das System eingehende Ereignisse automatisch anhand früherer Protokolle, die von dieser Adresse erhalten wurden, einem Typ zu und reduziert damit die Anzahl der Elemente, für die Ihre Aufmerksamkeit im Erkennungsworkflow erforderlich ist. Die Benutzeroberfläche gibt an, dass eine Adresse im Erkennungsworkflow automatisch zugeordnet wurde.

Navigieren Sie zu „Ereignisquellenmanagement“.

Führen Sie die folgenden Schritte aus, um Details zu den vorhandenen Ereignisquellengruppen anzuzeigen:

  1. Navigieren Sie zu ADMIN > Ereignisquellen.

    View existing event source groups is displayed.

  2. Klicken Sie auf eine der folgenden Optionen:

    • Die Registerkarte Discovery. Verwenden Sie diese Registerkarte, um die Ereignisquellentypen einzusehen, die NetWitness für jede Adresse ermittelt hat, und die Zuverlässigkeit des Systems hinsichtlich der Wahrscheinlichkeit, dass sie vollständig korrekt identifiziert wurden.
    • Registerkarte Managen: Auf dieser Registerkarte können Sie Ereignisquellengruppen hinzufügen, bearbeiten und löschen sowie Details für Ihre bestehenden Ereignisquellengruppen anzeigen.
    • Registerkarte Überwachungsrichtlinien: Auf dieser Registerkarte können Sie die Warnmeldungskonfigurationen für die Ereignisquellen anzeigen oder bearbeiten.
    • Die Registerkarte Alarme. Verwenden Sie diese Registerkarte, um die Details der Alarme anzuzeigen, die erzeugt wurden. Alarme werden erzeugt, wenn Ereignisquellen ihre festgelegten Schwellenwerte über- oder unterschreiten.
    • Registerkarte Einstellungen. Verwenden Sie diese Registerkarte, um das Verhalten für automatische Warnmeldungen anzuzeigen oder zu ändern.
    • Die Registerkarte Protokoll-Parser-Regeln. Auf dieser Registerkarte können Sie Protokoll-Parser-Regeln anzeigen und erkennen, wie diese Regeln bestimmte Protokolle analysieren.

Hinweis: Wenn das System Protokolle von einer Ereignisquelle empfängt, die derzeit nicht in der Ereignisquellenliste vorhanden ist, fügt NetWitness Platform die Ereignisquelle automatisch zur Liste hinzu. Wenn die Ereignisquelle den Kriterien für eine beliebige vorhandene Gruppe entspricht, wird sie außerdem Teil dieser Gruppe.

Verwandte Themen

You are here
Table of Contents > Informationen über Ereignisquellenmanagement

Attachments

    Outcomes