Manuel d'administrationAlertes d'actionCréation d'une alerte d'action › Sélection d'une requête d'alerte

Rubrique précédente: Ouverture de l'assistant de planification d'alerte d'action

Rubrique suivante: Utilisation des filtres avancés

Sélection d'une requête d'alerte

Sélectionnez les balises ou requêtes sur lesquelles baser un nouveau job d'alerte d'action. La requête, ainsi que tout filtre que vous ajoutez, définit les circonstances dans lesquelles une alerte est générée. Par exemple, pour créer une alerte afin de surveiller le trafic depuis un hôte ou un port, utilisez la requête Tous les événements, ajoutez des filtres pour définir les hôtes source à surveiller, ainsi qu'un seuil d'événements.

Remarque : Une catégorie de requête appelée Alertes d'action est fournie. Cette balise de catégorie contient plusieurs requêtes conçues pour être utilisées dans les alertes d'action.

Pour sélectionner une requête d'alerte

  1. Ouvrez l'assistant de planification d'alerte d'action.
  2. Saisissez un nom de job.
  3. Dans le menu déroulant de fuseau horaire, sélectionnez le fuseau horaire dans lequel vous souhaitez planifier le rapport.
  4. Sélectionnez le bouton d'option Requêtes ou Balises pour sélectionner les rapports par balise ou de manière séparée.

    Remarque : La planification des alertes par balise vous permet d'ajouter des alertes sans modifier le job lui-même. Si vous sélectionnez la balise "Gestion des identités", toute alerte associée à cette balise est ajoutée au job à l'heure d'exécution planifiée. Vous pouvez ajouter une nouvelle alerte au job en attribuant la balise Gestion des identités à une requête. Cette fonction s'applique également aux balises personnalisées.

    (Facultatif) Désactivez la case Activer pour activer l'alerte d'action ultérieurement et non pas dès que vous l'avez terminée. Cette case à cocher est activée par défaut.

    Remarque : La possibilité de créer un job d'alerte désactivé a été conçue pour une utilisation avec des alertes récurrentes. Si vous désactivez la case à cocher Activé d'un job, puis que vous créez ce job avec une occurrence unique ("Maintenant" ou "Une fois"), il est supprimé de la liste Alerte planifiée.

  5. Sélectionnez une ou plusieurs balises pour limiter le nombre de balises et de rapports affichés (facultatif). Cette fonction se comporte de la même manière que la Liste de rapports.
  6. Sélectionnez les balises ou requêtes que vous souhaitez utiliser en tant que modèles et utilisez le contrôle de déplacement pour les ajouter à la zone Requêtes sélectionnées. La catégorie de requêtes Alertes d'action contient des requêtes conçues pour divers besoins d'alertes courants.
  7. Accédez à la prochaine étape de planification que vous souhaitez effectuer ou cliquez sur Enregistrer et fermer.

    Si vous cliquez sur Enregistrer et fermer, le job d'alerte est planifié. Sinon, l'étape sélectionnée apparaît.

Informations complémentaires :

Création d'un filtre d'événement avancé

Définition des conditions de résultats