Administrationshandbuch › Ereigniskorrelation und Incident-Verwaltung › Korrelationsregelaufgaben › Informationen zu Korrelationsregeln

Informationen zu Korrelationsregeln

Sie können vordefinierte Korrelationsregeln anwenden, den Assistenten für Korrelationsregeln verwenden, um benutzerdefinierte Korrelationsregeln für Ihre Umgebung zu erstellen, oder um vorhandene Regeln zu ändern. Korrelationsregeln ermöglichen es Ihnen, Ereignisgruppen zu erkennen, die möglicherweise auf Angriffe oder auf andere Sicherheitsrisiken schließen lassen. Sie müssen die Administratorrolle besitzen, um Korrelationsregeln zu erstellen oder zu bearbeiten.

Wenn Sie eine Korrelationsregel erstellen, müssen Sie auswählen, welche der drei Typen erstellt werden soll. Die Regelvorlage steuert, welches Ereignis bzw. welche Ereignisse als Incident betrachtet werden. Es werden folgende Vorlagen bereitgestellt:

• Einfacher Filter - ermöglicht es Ihnen, nach einem einzelnen Ereignis oder Status zu suchen. Diese Vorlagen erstellen einen Incident aus einem einzelnen Ereignis.
• Zählvorlage - ermöglicht es Ihnen, nach einer Reihe von identischen Ereignissen zu suchen. Sie können steuern, nach wie vielen Ereignissen des gleichen Typs die Regel suchen soll. Jedes Mal, wenn die Regel die Anzahl der festgelegten Ereignisse erkennt, wird ein Incident ausgelöst.
• Statusübergangsvorlage - ermöglicht es Ihnen, nach einer zugehörigen Reihe an Ereignissen zu suchen. Wenn ein bestimmtes Ereignis oder ein bestimmter Status eintritt, gefolgt von einem oder mehreren anderen, erstellt die Regel einen Incident. Sie können die Status, nach denen die Regel sucht, definieren und die Anzahl an Status festlegen.

Hinweis: Eine effektive Korrelation erfordert einen klaren Überblick über anstehende Ereignisse. Aus diesem Grund sollten Sie die Anwendung von Unterdrückungs- oder Zusammenfassungsregeln auf Agentenebene eher vermeiden. Unterdrückte oder zusammengefasste Ereignisse auf Agentenebene werden für Korrelation und Incident-Erstellung nicht berücksichtigt.

Ereigniskorrelation kann erheblichen Netzwerkverkehr zur Folge haben. Aus diesem Grund ist es empfehlenswert, einen dedizierten Korrelationsserver zuzuweisen. Weitere Informationen über Serverrollen finden Sie im CA Enterprise Log Manager-Implementierungshandbuch.

Wenn zu viele Incident-Meldungen zur Verarbeitung durch den Korrelationsservice anstehen, behält der Service bis zu 10 000 Meldungen in der Warteschlange. Über diesen Wert hinaus eingehende Meldungen gehen verloren. Falls dies eintritt, generiert CA Enterprise Log Manager ein selbstüberwachendes Ereignis.

Weitere Informationen:

Informationen zu Incident-Benachrichtigungen