ESM: Erstellen von Ereignisquellengruppen

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Administratoren müssen Benachrichtigungen erhalten, wenn Ereignisquellen nicht länger von NetWitness Suite gesammelt werden. Sie müssen in der Lage sein, basierend auf verschiedenen Faktoren zu konfigurieren, wie lange Ereignisquellen still sein können (d. h. keine Protokollnachrichten sammeln), bevor eine Benachrichtigung gesendet wird.

RSA NetWitness Suite stellt Ereignisquellengruppen bereit, damit Sie Geräte mit ähnlicher Wichtigkeit zusammen gruppieren können. Sie können Gruppen basierend auf Attributen erstellen, die Sie aus der CMDB (Konfigurationsmanagement-Datenbank) importiert haben, oder durch manuelles Auswählen von Ereignisquellen, die der Gruppe hinzugefügt werden sollen.

Beispiel: Im Folgenden sind einige der Typen von Ereignisquellengruppen aufgeführt, die Sie erstellen können:

  • PCI-Quellen
  • Windows Domain Controller
  • Stille Quellen
  • Finanz-Server
  • Geräte mit hoher Priorität
  • Alle Windows-Quellen

Verfahren

So erstellen Sie eine Ereignisquellengruppe:

  1. Navigieren Sie zu ADMINISTRATION > Ereignisquellen.
  2. Klicken Sie im Bereich Verwalten auf .

    Das Dialogfeld „Ereignisgruppe erstellen“ wird angezeigt.
    Das Dialogfeld „Ereignisgruppe erstellen“ wird angezeigt.

  3. Geben Sie einen Namen für die Gruppe ein.
  4. Geben Sie unter Description eine Beschreibung ein
  5. Klicken Sie auf add_icon.png, um eine Bedingung hinzuzufügen. Setzen Sie das Hinzufügen von Bedingungen nach Bedarf fort. Details zum Erstellen von Bedingungen erhalten Sie unter Erstellen/Bearbeiten von Gruppenformularen.
  6. Klicken Sie auf Speichern.

    Die neue Gruppe wird im Bereich Verwalten angezeigt.

Beispiele

In diesem Abschnitt wird ein einfaches Beispiel beschrieben. Anschließend wird erläutert, wie eine komplexerer Regelsatz erstellt wird.

Einfaches Beispiel

In diese Beispiel werde die erforderlichen Schritte beschrieben, wenn Sie eine Ereignisquellengruppe erstellen möchten, die alle Ereignisquellen mit hoher Priorität enthält.

  1. Navigieren Sie zu ADMINISTRATION > Ereignisquellen.
  2. Klicken Sie im Bereich Verwalten > Gruppen auf add_icon.png .
  3. Geben Sie als Gruppenname Geräte mit hoher Priorität ein.
  4. Geben Sie eine Beschreibung ein, z. B. „Diese Geräte haben die höchste Priorität und müssen engmaschig überwacht werden.“
  5. Lassen Sie Alle diese ausgewählt und klicken Sie auf add_icon.png , um eine Bedingung hinzuzufügen.
  6. Wählen Sie im Drop-down-Menü Bedingung hinzufügen aus.

    1. Wählen Sie ein Attribut aus: Priorität.
    2. Wählen Sie einen Operator aus: Kleiner als.
    3. Geben Sie einen Wert ein: 2.

      In der folgenden Abbildung ist das aktualisierte Dialogfeld „Ereignisgruppe bearbeiten“ dargestellt.

    4. Das Dialogfeld „Ereignisgruppe bearbeiten“ wird angezeigt.
  7. Klicken Sie auf Speichern.

Komplexes Beispiel

In diesem Beispiel möchten Sie eine relativ komplexe Regel erstellen: Es sollen Ereignisquellen erfasst werden, die sich in den USA befinden und zu den Abteilungen Vertrieb, Finanzen oder Marketing gehören. Außerdem sollen weltweit interne Vertriebsereignisquellen mit hoher Priorität erfasst werden. Als hohe Priorität gilt hierbei eine Priorität von 1 oder 0. Die Definition lautet daher wie folgt:

(Country=United States AND (Dept.=Sales OR Dept.=Finance OR Dept.=Marketing))
OR
(Priority < 2 AND Division != External AND Dept.=Sales)

Die folgende Abbildung zeigt ein Beispiel für die Kriterien, die Sie beim Erstellen einer solchen Ereignisquellengruppe eingeben würden.

Beispiel für die Kriterien zur Erstellung einer Ereignisquellengruppe

You are here
Table of Contents > Managen von Ereignisquellengruppen > ESM: Erstellen von Ereignisquellengruppen

Attachments

    Outcomes