|
|
|
Une alerte d'action est un job de requête planifié qui peut être utilisé pour détecter les violations de stratégie, les tendances d'utilisation, les schémas de connexion et d'autres informations pouvant nécessiter une attention à court terme. Elle peut, par exemple, détecter le moment auquel des événements critiques se produisent et notifier la personne, le produit ou le traitement configuré. Toutes les alertes sont ajoutées à un flux RSS. Si elle est configurée, l'alerte peut notifier des utilisateurs par courriel, exécuter le traitement CA IT PAM configuré, ou envoyer des interruptions SNMP à un serveur distant.
Définition/Configuration d'alertes personnalisées
Un administrateur système a renommé le compte Administrator Windows TheMan, mais ce compte reste nécessaire pour certaines tâches administratives telles que l'installation de nouveaux logiciels sur des serveurs de production. Dans des circonstances normales, ce compte ne doit pas être utilisé et son utilisation est strictement contrôlée par un comité de supervision interne. Toute tentative de connexion associée à ce compte constitue potentiellement une violation de stratégie et doit être notifiée immédiatement. Comme ce compte ne s'appelle plus Administrator, les alertes prêtes à l'emploi ne le reconnaissent plus comme un compte privilégié.
Un administrateur ajoute TheMan comme valeur pour la liste à clés Default_Accounts, puis planifie une alerte qui exécute la requête Connexion établie par des comptes par défaut au cours des dernières 24 heures. Cette requête utilise la liste à clés Default_Accounts. Une alerte est générée en cas de connexion réussie par TheMan ou toute autre valeur pour la clé Default_Accounts.
|
Procédure |
Informations complémentaires |
|---|---|
|
Personnalisation des valeurs à clés pour Default_Accounts Création d'une alerte d'action Envoi d'une alerte qui exécute le processus IT PAM par ligne |
Pour plus d'informations, consultez : Remarques sur les alertes d'action Préparation à l'utilisation d'alertes avec des listes à clés Pour obtenir des exemples, consultez : Création d'une alerte d'action pour un espace disque faible |
Alerte automatisée par courriel
Les administrateurs doivent être notifiés lorsque les journaux indiquent un accès abusif à des ressources critiques telles que certains serveurs, fichiers, répertoires, certaines URL et d'autres ressources informatiques. Ce type d'accès abusif constitue potentiellement une violation de stratégie ; il doit être documenté dans les rapports de conformité et déclencher une action.
Un analyste configure CA Enterprise Log Manager afin de notifier l'administrateur par courriel (BlackBerry) en cas de violations de contrôles.
|
Procédure |
Informations complémentaires |
|---|---|
|
Définition de destinations des notifications Exemple : Envoi d'un courriel à l'administrateur lors de l'arrêt du flux d'événements |
|
Alerte automatisée via RSS
Les administrateurs doivent faire en sorte que leur organisation reste conforme aux contrôles PCI, afin d'éviter que l'entreprise ne soit soumise à de fortes amendes. En cas de violations de contrôle, ils doivent réagir rapidement pour rétablir la conformité de l'organisation. Trois administrateurs partagent la responsabilité de réagir à ces alertes, à différentes heures de la journée. Chaque administrateur souhaite recevoir ces alertes au moyen de son lecteur RSS préféré et uniquement lorsqu'il est de service, plutôt qu'à tout instant.
Lorsqu'il est de service, un administrateur configure SharpReader pour recevoir les alertes provenant de CA Enterprise Log Manager, en cas de violation, via RSS. Les deux autres administrateurs exécutent FeedReader pour les notifications d'alertes CA Enterprise Log Manager lorsqu'ils sont de service. Chacun reçoit les alertes uniquement lorsqu'il exécute son client RSS.
|
Procédure |
Informations complémentaires |
|---|---|
|
|
Alerte automatisée du centre d'assistance via CA IT PAM
De nombreux systèmes largement utilisés sont installés avec des comptes privilégiés par défaut établis par le fournisseur. Par exemple, les systèmes d'exploitation Windows sont installés avec le compte privilégié Administrator. De nombreuses organisations établissent une stratégie de sécurité déclarant que les administrateurs système ne doivent pas utiliser ces comptes privilégiés sans autorisation écrite préalable. Lorsqu'un tel compte est utilisé, l'organisation doit pouvoir alerter son centre d'assistance dès que possible afin que le personnel de ce centre puisse vérifier si l'autorisation a été accordée et, dans le cas contraire, réagir.
Supposez que le processus du centre d'assistance soit configuré dans CA IT PAM.
L'alerte de centre d'assistance constitue une bonne solution. Une fois l'intégration avec CA IT PAM configurée, vous pouvez identifier la requête qui capture chaque événement impliquant une connexion avec un compte privilégié, configurer la liste à clés avec les noms d'utilisateurs de comptes privilégiés que vous souhaitez restreindre et planifier une alerte pour notifier CA IT PAM lorsque CA Enterprise Log Manager détecte toute connexion réussie effectuée avec un compte privilégié. Vous pouvez entrer une description avec des champs CEG pour les variables que CA IT PAM utilise, le cas échéant, afin de renseigner le champ Description de ce ticket du centre d'assistance. Lorsque l'alerte planifiée basée sur cette requête renvoie un événement, CA Enterprise Log Manager envoie automatiquement à CA IT PAM l'événement et sa description. CA IT PAM traite ces informations et crée le ticket du centre d'assistance.
Alerte manuelle du centre d'assistance via CA IT PAM
SOX requiert que les organisations assurent un suivi des changements de configuration et de leurs approbations. De nombreuses organisations utilisent CA Service Desk pour le suivi, la surveillance et la génération de rapports concernant l'ensemble des problèmes et incidents, y compris pour les enquêtes sur la violation de stratégie. Supposons qu'un analyste enquête sur un incident et découvre que des comptes privilégiés ont été utilisés en dehors des heures ouvrables. Cela est indiqué par les événements renvoyés par la requête Détails des sessions d'utilisateur privilégié.
L'analyste exécute le processus de sortie de l'événement/de l'alerte IT PAM qui crée un ticket de support technique pour l'événement sélectionné. Les instructions de récapitulatif et de description décrivent ce qui s'est déroulé à l'aide des champs CEG. La confirmation affiche le numéro de requête créé dans CA Service Desk. L'analyste se connecte à CA Service Desk, sélectionne les requêtes et entre le numéro de requête. L'analyste vérifie le ticket de support technique créé à partir de CA Enterprise Log Manager à l'aide des instructions de récapitulatif et de description qui reflètent les données actuelles.
|
Procédure |
Informations complémentaires |
|---|---|
|
|
Alerte automatisée au centre d'opérations réseau à l'aide d'interruptions SNMP
Les NOC (Network Operations Centers, centres d'opérations réseau) surveillent le réseau pour détecter les conditions exigeant une intervention afin d'éviter tout impact sur la disponibilité des services ou sur les performances du réseau. Par exemple, une action lancée par un utilisateur qui change la configuration d'un système critique risque d'affecter la disponibilité des services. De nombreuses organisations exigent que les administrateurs obtiennent une autorisation préalable avant d'effectuer de tels changements. Il est important que le NOC puisse vérifier, dès que possible après un tel changement, que celui-ci a été autorisé.
Supposez qu'un NOC utilise CA Spectrum NFM pour suivre la disponibilité du système et des services. Spectrum doit être alerté à chaque changement de configuration.
L'alerte SNMP vous permet de résoudre ce problème. Les changements de configuration créent des événements qui peuvent être capturés par des requêtes CA Enterprise Log Manager. Vous pouvez planifier des alertes sur la base de telles requêtes. Une fois l'intégration avec les interruptions SNMP configurée, vous pouvez diriger les alertes vers un système de surveillance NOC, tel que CA Spectrum. Cet exemple d'alerte envoie tous les événements de changement de configuration à Spectrum via SNMP, sa méthode d'entrée standard. Après réception d'une alerte de changement de configuration sur un système donné, l'icône Spectrum de ce système passe du vert au jaune. Le personnel du NOC peut alors vérifier si ce changement a été autorisé et, dans le cas contraire, prendre les mesures appropriées.
| Copyright © 2010 CA. Tous droits réservés. | Envoyer un courriel à CA Technologies sur cette rubrique |