ESM: Erstellen von Ereignisquellen und Bearbeiten von Attributen

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Sie können Ereignisquellen in Gruppen organisieren. Dazu geben Sie Werte für verschiedene Attribute jeder Ereignisquelle ein. Beispiel: Sie können für alle Ereignisquellen mit hoher Priorität den Wert für Priorität auf 1 festlegen. Einzelheiten zu den verfügbaren Attributen erhalten Sie im Thema Registerkarte „Ereignisquelle verwalten“.

Die folgende Abbildung zeigt ein Beispiel für den Bereich Ereignisquellen:

Der Bereich „Ereignisquellen“ wird angezeigt.

Ereignisquellenattribute bestehen aus einer Kombination von automatisch ausgefüllten und vom Benutzer eingegebenen Informationen. Wenn eine Ereignisquelle Protokollinformationen an NetWitness Suite sendet, wird sie der Liste der Ereignisquellen hinzugefügt und einige grundlegende Informationen werden automatisch ausgefüllt. Danach kann der Benutzer jederzeit Details zu anderen Ereignisquellenattributen hinzufügen oder bearbeiten.

Obligatorische Attribute

Die folgenden Identifizierungsattribute werden besonders behandelt: IP, IPv6, Hostname, Ereignisquelltyp, Log Collector und Log Decoder. Wenn Sie eine Ereignisquelle manuell erstellen, können Sie diese Werte eingeben. Sobald Sie die Ereignisquelle speichern, können diese Werte nicht mehr geändert werden.

Ereignisquellen können auch automatisch erkannt werden. Jede Ereignisquelle, die Meldungen an den Log Decoder sendet, wird der Liste der Ereignisquellen hinzugefügt. Beim Bearbeiten der Attribute einer automatisch erkannten Ereignisquelle können Sie keines dieser Felder bearbeiten.

Beachten Sie, dass nicht alle diese Felder obligatorisch sind. Zur eindeutigen Identifikation einer Ereignisquelle sind folgende Informationen erforderlich:

  • IP, IPv6 oder Hostname und
  • Ereignisquellentyp

Außerdem verwendet RSA NetWitness Suite eine Hierarchie für IP, IPv6 und Hostname. Die Reihenfolge lautet wie folgt:

  1. IP
  2. IPv6
  3. Hostname

Beim manuellen Eingeben von Ereignisquellen müssen Sie diese Reihenfolge beachten. Andernfalls kann es beim Empfangen von Meldungen von den manuell konfigurierten Ereignisquellen zu Duplikaten kommen.

Alle anderen Attribute (z. B. Priorität, Land, Unternehmen, Anbieter usw.) sind optional. 

Erstellen von Ereignisquellen

  1. Navigieren Sie zu ADMINISTRATION > Ereignisquellen.
  2. Wählen Sie die Registerkarte Managen aus.
  3. Klicken Sie im Bereich Ereignisquellen auf  , um den Detailbildschirm zu öffnen, der alle Ereignisquellenattribute enthält.

    Die Registerkarte „Ereignisquelle verwalten“ wird angezeigt.

  4. Geben Sie Werte für Attribute ein oder ändern Sie diese.
  5. Klicken Sie auf Speichern.

Aktualisieren von Attributen einer Ereignisquelle

  1. Navigieren Sie zu ADMIN > Ereignisquellen.
  2. Wählen Sie die Registerkarte Managen aus.
  3. Wählen Sie im Bereich Ereignisquellen eine Ereignisquelle in der Liste aus.
  4. Klicken Sie im Bereich Ereignisquellen auf  , um den Detailbildschirm zu öffnen, der alle Ereignisquellenattribute enthält.

    Die Registerkarte „Ereignisquelle verwalten“ wird angezeigt.

  5. Geben Sie die Werte für Attribute ein oder ändern Sie diese. Einige Attributwerte können jedoch nicht verändert werden, nachdem sie einmal eingegeben wurde.
  6. Klicken Sie auf Save
You are here
Table of Contents > Managen von Ereignisquellengruppen > ESM: Erstellen von Ereignisquellen und Bearbeiten von Attributen

Attachments

    Outcomes