ESM: Typische Szenarien zu Überwachungsrichtlinien

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Typischerweise überwachen viele Unternehmen ihre Ereignisquellen aufgeteilt in Buckets, in Abhängigkeit davon, wie kritisch oder pauschal die einzelnen Ereignisquellen sind. Hier ein typisches Beispiel:

  • Angenommen, es existiert eine Gruppe von PCI-Geräten, bei denen es von kritischer Bedeutung ist, innerhalb einer von halben Stunde informiert zu werden, wenn eines dieser Gerät das Versenden von Nachrichten einstellt (oder zu wenige Nachrichten sendet).
  • Zudem existiert eine andere Gruppe von Windows-Geräten, bei denen es hilfreich ist, innerhalb einer von vier Stunden informiert zu werden, wenn eines dieser Gerät das Senden von Nachrichten einstellt.
  • Und es gibt eine weitere Gruppe mit stillen Geräten, die normalerweise nicht viele Nachrichten senden, bei denen Sie es aber trotzdem erfahren möchten, wenn 24 Stunden lang nichts mehr gesendet wurde.

Viele Unternehmen verfügen möglicherweise über ein Netzwerk, das dem in diesem Beispiel ähnelt. Sie haben möglicherweise weitere oder andere Kategorien, aber in diesem Beispiel wird diese Funktion besprochen.

Auch wenn Sie Dutzende oder gar Hunderte von Ereignisquellengruppen haben sollten, in der Regel gibt es nur wenige Gruppen, für die Sie Schwellenwerte und Warnmeldungen einrichten müssen.

Hinweis: Wenn eine Ereignisquelle Mitglied in mehreren Gruppen ist, für die Warnmeldungen konfiguriert sind, werden die Warnmeldungen nur für die erste übereinstimmende Gruppe in der sortierten Liste ausgegeben. (Die Registerkarte „Überwachungsrichtlinien“ enthält eine sortierte Liste Ihrer Gruppen.)

Sortieren der Gruppen

Hinweis: Wenn Sie die Reihenfolge der Gruppen ändern möchten, ziehen Sie eine Gruppe per Drag-and-drop an eine neue Position. Je höher eine Gruppe in der Liste aufgeführt ist, desto höher ist der Rang der Schwellenwerte dieser Gruppe: RSA NetWitness Suite prüft die Schwellenwerte in der Reihenfolge, die in diesem Bereich festgelegt ist. Daher sollten Sie Gruppen mit höchster Priorität ganz oben in der Liste einordnen.

Machen Sie sich klar, in welcher Reihenfolge die Gruppen auf der Seite Überwachungsrichtlinien sortiert werden sollten. Wenn Sie die drei oben erwähnten Gruppen verwenden, sollten Sie diese folgendermaßen anordnen:

  1. Stille Ereignisquellen. Indem Sie diese Gruppe an die erste Stelle setzen, können Sie vermeiden, dass Sie übermäßig viele falsche Warnmeldungen erhalten.
  2. PCI-Ereignisquellen mit hoher Priorität. Nach den stillen Geräten sollten die Geräte mit der höchsten Priorität folgen
  3. Windows-Ereignisquellen. Für diese Geräte ist der Zeitraum länger als für die PCI-Geräte (vier Stunden gegenüber einer halben Stunde). Daher sollten sie nach den PCI-Geräten angeordnet werden.
  4. Alle Ereignisquellen. Optional können Sie Schwellenwerte für alle Geräte definieren, um sämtliche Ereignisse zu erfassen. Auf diese Weise können Sie sicherstellen, dass Ihr gesamtes Netzwerk ordnungsgemäß funktioniert. Für die Catch-All-Gruppe müssen Sie keine Schwellenwerte festlegen. Sie können automatische Warnmeldungen verwenden, um Alarme für die Ereignisquellen in dieser Gruppe zu erzeugen.
    Die Seite „Überwachungsrichtlinien“ wird angezeigt.

Beachten Sie in der obigen Abbildung Folgendes:

  • Die Gruppen sind in der oben beschriebenen Reihenfolge angeordnet.
  • Der Schwellenwert für PCI-Geräte ist so festgelegt, dass Warnmeldungen versendet werden, wenn die Anzahl der bei NetWitness Suite eingehenden Nachrichten unter 10 Nachrichten in 30 Minuten sinkt.
  • Es ist ein unterer Schwellenwert definiert, aber kein oberer. Dies ist in vielen Anwendungsbeispielen der Fall.

Nachdem Sie Ihre Gruppen eingerichtet und sortiert haben und Warnmeldungen erhalten, kann es vorkommen, dass Sie die Reihenfolge nochmals ändern müssen. Beachten Sie beim Ändern der Reihenfolge die folgenden Richtlinien:

  • Wenn Sie mehr Benachrichtigungen erhalten als nötig, verschieben Sie die Gruppe in der Reihenfolge nach unten. Analog dazu, wenn Sie zu wenige Benachrichtigungen erhalten, verschieben Sie die Gruppe weiter nach oben.
  • Wenn Sie feststellen, dass eine Ereignisquelle mehr Warnmeldungen erzeugt als gewünscht, können Sie diese in eine andere Gruppe verschieben oder eine neue Gruppe für diese Ereignisquelle erstellen.
You are here
Table of Contents > ESM: Informationen über Ereignisquellenmanagement > ESM: Typische Szenarien zu Überwachungsrichtlinien

Attachments

    Outcomes