ESM: Registerkarte Überwachungsrichtlinien

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Auf der Registerkarte „Überwachungsrichtlinien“ sind die Schwellenwerte nach Ereignisquellengruppe sortiert.

Klicken Sie zum Öffnen der Registerkarte auf ADMIN > Ereignisquellen. Die Registerkarte Managen wird angezeigt. Wählen Sie die Registerkarte Überwachungsrichtlinien aus.

Workflow

Dieser Workflow veranschaulicht den allgemeinen Prozess zur Konfiguration von Ereignisquellen.

Der Workflow veranschaulicht den allgemeinen Prozess zur Konfiguration von Ereignisquellen.

Was möchten Sie tun?

                       
RolleZielDetails anzeigen
Administrator

Warnmeldungskonfigurationen für Ereignisquellen managen

Konfigurieren von Warnmeldungen für Ereignisquellengruppen

Administrator Schwellenwerte nach Ereignisquellengruppe sortieren

Konfigurieren von Warnmeldungen für Ereignisquellengruppen

Verwandte Themen

Konfigurieren von Warnmeldungen für Ereignisquellengruppen

Einrichten von Benachrichtigungen

Deaktivieren von Benachrichtigungen

Überblick

Die Registerkarte Überwachungsrichtlinien umfasst drei Bereiche.

  • Bereich mit Ereignisgruppen
  • Bereich „Schwellenwerte“
  • Bereich „Benachrichtigungen“

Die Abbildung unten zeigt ein Beispiel für die Registerkarte Überwachungsrichtlinien.

Beispiel für den Bildschirm „Überwachungsrichtlinien“

                 
1Bereich „Gruppen“
2Bereich „Schwellenwerte“
3Bereich „Benachrichtigungen“

Bereich mit Ereignisgruppen

Beispiel für den Bereich mit Ereignisgruppen

Mit der Auswahl einer Gruppe in diesem Bereich legen Sie fest, welche Schwellenwerte im Bereich „Schwellenwerte“ angezeigt werden sollen. Für jede Ereignisquellengruppe kann ein eigener Satz Schwellenwerte festgelegt werden. Beachten Sie, dass die Gruppen in einer bestimmten Reihenfolge angeordnet sind:

  • Per Drag-and-drop können Sie Gruppen in die gewünschte Reihenfolge ziehen.
  • Je höher eine Gruppe in der Liste steht, desto höher ist der Rang der Schwellenwerte dieser Gruppe: RSA NetWitness Suite prüft die Schwellenwerte in der Reihenfolge, die in diesem Bereich festgelegt ist. Daher sollten Sie Gruppen mit höchster Priorität ganz oben in der Liste einordnen

Bereich Schwellenwerte

Die Abbildung unten zeigt ein Beispiel für den Bereich „Schwellenwerte“ einer Ereignisquellengruppe.

Beispiel für den Bereich „Schwellenwerte“ einer Ereignisquellengruppe

Der Bereich „Schwellenwerte“ enthält die nachfolgend aufgeführten Funktionen.

                               
FunktionBeschreibung
Aktivieren

Über das Kontrollkästchen „Aktivieren“ legen Sie fest, ob die für eine Gruppe definierten Schwellenwerte aktiviert sind. Falls aktiviert, werden immer dann, wenn die Schwellenwerte dieser Gruppe einen Wert außerhalb des definierten Bereichs erreichen, Benachrichtigungen versandt. Falls sie nicht aktiviert sind, findet keine Überwachung der betreffenden Ereignisquellengruppe statt.

Hinweis: Wenn Sie einen Schwellenwert konfigurieren und versuchen, die Seite zu speichern, ohne ihn zu aktivieren, werden Sie in einer Bestätigungsmeldung gefragt, ob die Policy aktiviert werden soll oder nicht.

Wenn Sie eine Policy aktivieren, aber keine Schwellenwerte festgelegt haben, können Sie dennoch automatische (Baseline-) Benachrichtigungen erhalten, sofern Sie automatische Benachrichtigungen aktiviert haben.

Nachstehend finden Sie weitere Informationen zur Anzeige von Benachrichtigungen.

Niedrige Anzahl der Ereignisse
Niedrige Anzahl der Minuten bzw. Stunden

Dies ist der untere Bereich des Schwellenwerts. Geben Sie die Untergrenzen für die Anzahl der Ereignisse und den Zeitbereich an. Wenn die Ereignisquellengruppe weniger Meldungen als hier angegeben erhält, wird der Schwellenwert nicht erreicht, woraufhin Benachrichtigungen versandt werden.

Hohe Anzahl der Ereignisse
Hohe Anzahl der Minuten oder Stunden
Funktioniert ähnlich wie für die niedrigen Werte: Wenn mehr Meldungen als hier angegeben eingehen, wird der Schwellenwert verfehlt, woraufhin Benachrichtigungen versandt werden.
Datum und Uhrzeit der letzten ÄnderungDas Feld enthält Datum und Uhrzeit der letzten Änderung der Schwellenwerte.
SpeichernSpeichert die an den Schwellenwerten vorgenommenen Änderungen.

Bereich Benachrichtigungen

Die Abbildung unten zeigt ein Beispiel für den Bereich „Benachrichtigungen“ einer Ereignisquellengruppe.

Beispiel für den Bereich „Benachrichtigungen“ einer Ereignisquellengruppe

In der folgenden Tabelle werden die Felder im Bereich „Benachrichtigungen“ beschrieben.

                                       
FeldBeschreibung

Tools

+  -

Folgende Optionen sind in der Symbolleiste verfügbar:

  • Hinzufügen (+): durch Klicken auf Hinzufügen wird ein Menü angezeigt, in dem Sie den Benachrichtigungstyp auswählen können
  • Entfernen (-): Entfernt die ausgewählte Zeile aus der Liste.
Benachrichtigungseinstellungen

Durch Klicken auf diesen Link wird die Seite Admin > System > Benachrichtigungen in NetWitness Suite in einer neuen Browserregisterkarte geöffnet.

Typ

Zeigt den Typ der ausgewählten Benachrichtigung an. Folgende Optionen stehen zur Verfügung:

  • E-Mail
  • SNMP
  • Syslog
Benachrichtigung Weitere Informationen finden Sie unter Konfigurieren von Benachrichtigungsausgaben im Systemkonfigurationsleitfaden.

Benachrichtigungsserver

Weitere Informationen finden Sie unter Konfigurieren von Benachrichtigungsservern im Systemkonfigurationsleitfaden
Vorlage

RSA hält für das Ereignisquellenmanagement drei Standardvorlagen für Benachrichtigungen bereit. Sie können entweder die vorliegenden Vorlagen verwenden oder sie entsprechend den Anforderungen Ihrer Organisation anpassen:

  • E-Mail-Vorlage: sendet Benachrichtigungen an die angegebenen E-Mail-Adressen.
  • SNMP-Vorlage: sendet Benachrichtigungen an den angegebenen SNMP-Server.
  • Syslog-Vorlage: sendet Benachrichtigungen an den angegebenen Syslog-Server.

Weitere Informationen finden Sie unter Konfigurieren von Vorlagen für Benachrichtigungen im Systemkonfigurationsleitfaden.

Ausgabeunterdrückung Mithilfe dieses Elements kann die Anzahl von Benachrichtigungen für diese Richtlinie begrenzt werden, falls es in einem kurzen Zeitraum zu sehr vielen Alarmmeldungen kommt. 

Nachstehend sind Beispiele für Benachrichtigungen aufgeführt, die auf den bereitgestellten Vorlagen basieren:

Beispiel für eine Überwachungsbenachrichtigung für eine Ereignisquelle

  • E-Mail:

    Für E-Mail-Benachrichtigungen gibt die dritte Spalte, Alarmtyp, an, ob der ausgelöste Alarm auf einem Benutzerschwellenwert basiert oder ob die Baselinedaten außerhalb ihrer normalen Grenzen liegen. Wenn die automatische Überwachung oder Benachrichtigungen deaktiviert sind, erhalten Sie keine automatischen Benachrichtigungen. Dasselbe gilt für Syslog und SNMP, außer dass jene Benachrichtigungen anders formatiert sind.

  • SNMP-Trap:

     11-11-2015 11:57:33 Local7.Debug 127.0.0.1 community=public, enterprise=1.3.6.1.4.1.36807.1.20.1, uptime=104313, agent_ip=10.251.37.92, version=Ver2, 1.3.6.1.4.1.36807.1.20.1="NetWitness Suite Event Source Monitoring Notification: Group: PCI Event Source(s) High Threshold: Greater than 500 events in 5 minutes 10.17.0.10,ciscopix,Manual 10.17.0.13,ciscopix,Manual 10.17.0.8,ciscopix,Manual 10.17.0.8,ciscopix,Automatic 10.17.0.12,ciscopix,Manual 10.17.0.5,ciscopix,Manual 10.17.0.6,ciscopix,Manual 10.17.0.4,ciscopix,Manual 10.17.0.4,ciscopix,Automatic 10.17.0.3,ciscopix,Manual" 
  • Syslog-Beispiel:

     11-11-2015 11:57:33 User.Info 127.0.0.1 Nov 11 11:57:33 localhost CEF:0|RSA|NetWitness Suite Event Source Monitoring|10.6.0.0.0| HighThresholdAlert|ThresholdExceeded|1|cat=PCI Event Source(s)|Devices| src=10.17.0.10,ciscopix,Manual|src=10.17.0.13,ciscopix,Manual|src=10.17.0.8,ciscopix,Manual|src=10.17.0.8,ciscopix,Automatic|src=10.17.0.12,ciscopix,Manual|src=10.17.0.5,ciscopix,Manual|src=10.17.0.6,ciscopix,Manual|src=10.17.0.4,ciscopix,Manual|src=10.17.0.4,ciscopix,Automatic|src=10.17.0.3,ciscopix,Manual|
You are here
Table of Contents > Referenzen > ESM: Registerkarte „Überwachungsrichtlinien“

Attachments

    Outcomes