ESM: Managen von Ereignisquellengruppen

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Definitionen

Bedenken Sie bei der Bearbeitung von Ereignisquellengruppen in NetWitness Suite Folgendes:

  • Eine Ereignisquelle ist im Wesentlichen die Kombination von Werten für alle ihre Attribute.
  • Eine Ereignisquellengruppe ist der Satz von Ereignisquellen, die einer Reihe von den für diese Gruppe definierten Kriterien entsprechen.

Beispielsweise können folgende Gruppen vorhanden sein:

  • Eine Gruppe mit der Bezeichnung Windows-Geräte, die alle Ereignisquellentypen umfasst, die Microsoft Windows-Ereignisquellen entsprechen (winevent_nic, winevent_er und winevent_snare).
  • Eine Gruppe mit der Bezeichnung Services mit niedriger Priorität, die alle Services umfasst, für die das Priority-Attribut auf einen Wert niedriger als 5 festgelegt wurde.
  • Eine Gruppe mit der Bezeichnung Server für Verkäufe in den USA, in der Sie Ereignisquellen zusammenfassen, die sich in den USA befinden und das Organization-Attribut „Vertrieb“, „Finanzen“ oder „Marketing“ enthalten.

Details zur Registerkarte „Managen“

Die Registerkarte „Managen“ im Modul „Ereignisquelle“ bietet eine einfache Möglichkeit zum Managen von Ereignisquellen. Auf dieser Registerkarte können Sie folgende Aufgaben ausführen:

  • Einrichten von Ereignisquellengruppen auf einheitliche Weise
  • Arbeiten mit Ereignisquellenattributen auf einheitliche, direkte Weise
  • Einfaches Durchsuchen des gesamten Satzes von Ereignisquellen
  • Massenbearbeitung und -aktualisierung von Ereignisquellen und Ereignisquellengruppen

Sie können die Details zu Ihren Ereignisquellengruppen anzeigen, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu ADMINISTRATION > Ereignisquellen.
  2. Wählen Sie den Bereich Managen aus, um die Details zu Ihren vorhandenen Ereignisquellengruppen einzusehen.

Hinweis: Wenn das System Protokolle von einer Ereignisquelle empfängt, die derzeit nicht in der Ereignisquellenliste vorhanden ist, fügt NetWitness Suite die Ereignisquelle automatisch zur Liste hinzu. Wenn die Ereignisquelle darüber hinaus die Kriterien für eine der vorhandenen Gruppe erfüllt, wird sie Teil dieser Gruppe.

Standardgruppen

RSA NetWitness Suite verfügt über mehrere Standardgruppen. Sie können diese nach Bedarf anpassen und zum Erstellen von neuen Gruppen als Vorlage verwenden.

Folgende Standardgruppen stehen zur Verfügung:

  • Alle Ereignisquellen
  • Alle Unix-Ereignisquellen
  • Alle Windows-Ereignisquellen
  • Kritische Windows-Ereignisquellen
  • PCI-Ereignisquellen
  • In den Ruhemodus versetzte Ereignisquellen

Sie können eine beliebige Gruppen bearbeiten, um die Regeln zu untersuchen, die die Gruppen definieren.

Hinweis: Die Ereignisquellengruppe Alle kann nicht bearbeitet oder gelöscht werden.

Themen:

You are here
Table of Contents > Managen von Ereignisquellengruppen > ESM: Managen von Ereignisquellengruppen

Attachments

    Outcomes