ImplementierungshandbuchKonfigurieren von ServicesKonfigurieren des Korrelationsservices › Verwenden von vordefinierten Korrelationsregeln

Vorheriges Thema: Anwenden der Korrelationsregeln und der Incidents-Benachrichtigungen

Nächstes Thema: Erfassungsserver festlegen

Verwenden von vordefinierten Korrelationsregeln

CA Enterprise Log Manager stellt eine große Anzahl an vordefinierten Korrelationsregeln für die Verwendung in Ihrer Umgebung bereit, die nach Typen oder Vorschriften angeordnet sind. Zum Beispiel finden Sie im Korrelationsregelordner der Bibliotheken-Schnittstelle einen Ordner mit dem Namen "PCI", der Regeln für verschiedene PCI-Anforderungen enthält. Sie finden auch einen Ordner mit dem Namen "Identität", der universelle Regeln bezüglich der Autorisierung und Authentifizierung enthält.

Es gibt drei Haupttypen von Regeln, von denen entweder eine oder alle in jede Kategorie eingeschlossen werden kann. Dieses Thema gibt ein Beispiel, wie jeder Regeltyp ausgewählt und angewendet wird.

Beispiel - Auswählen und Anwenden einer einfachen Regel

Einfache Korrelationsregeln erkennen, dass ein Status oder ein Vorkommnis vorhanden ist. Sie können beispielsweise eine Regel anwenden, die Sie vor Kontoerstellungsaktionen außerhalb der normalen Geschäftszeiten warnt. Bevor Sie eine Regel anwenden, sollten sie sicherstellen, dass Sie die gewünschten Benachrichtigungsziele für Ihre Umgebung erstellt haben.

So können Sie die Regel "Kontoerstellung außerhalb der normalen Geschäftszeiten" auswählen und anwenden

  1. Klicken Sie auf Registerkarte "Administration" und anschließend auf die Unterregisterkarte "Bibliothek", und blenden Sie den Ordner "Korrelationsregeln" ein.
  2. Blenden Sie den Ordner "PCI" und anschließend den Ordner "Anforderung 8" ein, und wählen die Regel "Erstellen eines neuen Kontos außerhalb der normalen Geschäftszeiten" aus.

    Die Regeldetails werden im rechten Fensterbereich angezeigt.

  3. Überprüfen Sie die Regeldetails, um sicherzustellen, dass die Regel für Ihre Umgebung geeignet ist. In diesem Fall definieren Filter die Kontoerstellungsaktion und legen die normalen Geschäftszeiten nach Zeit und Wochentag fest.
  4. (Optional) Klicken Sie oben im Fenster auf "Bearbeiten", um die bei Bedarf die Filtereinstellungen zu ändern. Zum Beispiel könnten Sie die normalen Arbeitsstunden ändern, um Ihre lokalen Spezifikationen anzupassen.

    Der Assistent für die Regelverwaltung wird geöffnet. Die Regeldetails sind bereits eingetragen.

  5. Fügen Sie bei Bedarf Benachrichtigungsdetails in den Assistenten für Regelverwaltung hinzu. Benachrichtigungsdetails stellen den Meldungsinhalt bereit, der, wie in "Benachrichtigungsziele" angegeben, geliefert wird.
  6. Sobald Sie die Regel fertiggestellt haben, klicken Sie im Assistenten auf "Speichern und schließen". Wenn Sie eine vordefinierte Korrelationsregel bearbeiten und speichern, erstellt CA Enterprise Log Manager automatisch eine neue Version und behält die Originalversion bei.
  7. Klicken Sie auf die Unterregisterkarte "Services", und blenden Sie den Knoten "Korrelationsservice" ein.
  8. Wählen Sie den Server aus, auf dem Sie die Regel anwenden möchten. Wenn Sie einen Korrelationsserver ermittelt haben, sollten Sie diesen Server auswählen.
  9. Klicken Sie im Bereich "Regelkonfiguration" auf "Anwenden", und wählen Sie die neue Version der Regel "Erstellen eines neuen Kontos außerhalb der normalen Geschäftszeiten", zu der Sie das Benachrichtigungsziel zuweisen möchten, aus.
  10. Klicken Sie auf "OK", um das Dialogfeld zu schließen und die Regel zu aktivieren.

Beispiel - Auswählen und Anwenden einer Zählregel

Zählkorrelationsregeln ermitteln eine Reihe von identischen Status oder Vorkommnissen. Sie können beispielsweise eine Regel anwenden, die Sie vor fünf oder mehreren fehlgeschlagenen Anmeldungen, die durch ein Administratorkonto erfolgt sind, warnt. Bevor Sie eine Regel anwenden, sollten sie sicherstellen, dass Sie die gewünschten Benachrichtigungsziele für Ihre Umgebung erstellt haben.

So können Sie die Regel "5 fehlgeschlagene Anmeldeversuche durch Administratorkonten" auswählen und anwenden

  1. Klicken Sie auf Registerkarte "Administration" und anschließend auf die Unterregisterkarte "Bibliothek", und blenden Sie den Ordner "Korrelationsregeln" ein.
  2. Blenden Sie den Ordner "Bedrohungsverwaltung" und anschließend den Ordner "Verdächtige Aktivitäten am Konto und bei der Anmeldung" ein, und wählen Sie die Regel "5 fehlgeschlagene Anmeldeversuche durch Administratorkonten" aus.

    Die Regeldetails werden im rechten Fensterbereich angezeigt.

  3. Überprüfen Sie die Regeldetails, um sicherzustellen, dass die Regel für Ihre Umgebung geeignet ist. In diesem Fall definieren die Filter ein Administratorkonto als Benutzernamen, die zu der Schlüsselliste "Administratoren" gehört, und legt den Ereigniszähler auf 5 Ereignisse in 60 Minuten fest.
  4. (Optional) Klicken Sie oben im Fenster auf "Bearbeiten", um die bei Bedarf die Filtereinstellungen zu ändern. Zum Beispiel könnten Sie in 30 Minuten den Zeitschwellenwert auf 3 Ereignisse ändern.

    Der Assistent für die Regelverwaltung wird geöffnet. Die Regeldetails sind bereits eingetragen.

  5. Fügen Sie bei Bedarf Benachrichtigungsdetails in den Assistenten für Regelverwaltung hinzu. Benachrichtigungsdetails stellen den Meldungsinhalt bereit, der, wie in "Benachrichtigungsziele" angegeben, geliefert wird.
  6. Sobald Sie die Regel fertiggestellt haben, klicken Sie im Assistenten auf "Speichern und schließen". Wenn Sie eine vordefinierte Korrelationsregel bearbeiten und speichern, erstellt CA Enterprise Log Manager automatisch eine neue Version und behält die Originalversion bei.
  7. Klicken Sie auf die Unterregisterkarte "Services", und blenden Sie den Knoten "Korrelationsservice" ein.
  8. Wählen Sie den Server aus, auf dem Sie die Regel anwenden möchten. Wenn Sie einen Korrelationsserver ermittelt haben, sollten Sie diesen Server auswählen.
  9. Klicken Sie im Bereich "Regelkonfiguration" auf "Anwenden", und wählen Sie die neue Version der Regel "5 fehlgeschlagene Anmeldeversuche durch Administratorkonten", zu der Sie das Benachrichtigungsziel zuweisen möchten, aus.
  10. Klicken Sie auf "OK", um das Dialogfeld zu schließen und die Regel zu aktivieren.

Beispiel - Auswählen und Anwenden einer Regel des Statusübergangs

Die Korrelationsregeln des Statusübergangs ermitteln eine Reihe an Status oder Vorkommnissen. Sie können beispielsweise eine Regel anwenden, die Sie vor fehlgeschlagenen Anmeldungen, gefolgt von einer erfolgreichen Anmeldung, die durch das gleiche Benutzerkonto erfolgt ist, warnt. Bevor Sie eine Regel anwenden, sollten sie sicherstellen, dass Sie die gewünschten Benachrichtigungsziele für Ihre Umgebung erstellt haben.

  1. Klicken Sie auf Registerkarte "Administration" und anschließend auf die Unterregisterkarte "Bibliothek", und blenden Sie den Ordner "Korrelationsregeln" ein.
  2. Blenden Sie den Ordner "Identität" und anschließend den Ordner "Authentifizierung" ein, und wählen Sie die Regel "Erfolgreiche Anmeldung nach fehlgeschlagenen Anmeldungen" aus.

    Die Regeldetails werden im rechten Fensterbereich angezeigt.

  3. Überprüfen Sie die Regeldetails, um sicherzustellen, dass die Regel für Ihre Umgebung geeignet ist. In diesem Fall zeigt der Detailbereich die zwei Status an, die die Regel verfolgt. Der erste Status ist fünf oder mehr fehlgeschlagene Anmeldungen durch das gleiche Benutzerkonto oder die gleiche Identität. Das zweite Status ist eine erfolgreiche Anmeldung durch den gleichen Benutzer oder die gleiche Identität.
  4. (Optional) Klicken Sie oben im Fenster auf "Bearbeiten", um die bei Bedarf die Statuseinstellungen zu ändern.

    Der Assistent für die Regelverwaltung wird geöffnet, und die zwei Status, aus denen die Regel besteht, werden angezeigt.

  5. Doppelklicken Sie auf den Status, den Sie ändern möchten.

    Der Assistent für die Statusdefinition erscheint, und die Details des Status werden angezeigt.

  6. Nehmen Sie im ausgewählten Status die gewünschten Änderungen vor, und klicken Sie auf "Speichern und schließen", um zum Assistenten für die Regelverwaltung zurückzukehren. Der erste Status überprüft beispielsweise 5 fehlgeschlagene Anmeldungen in 10 Minuten. Sie können den fehlgeschlagenen Schwellenwert der Anmeldung, die Zeit oder beide Werte ändern.
  7. Fügen Sie bei Bedarf Benachrichtigungsdetails in den Assistenten für Regelverwaltung hinzu. Benachrichtigungsdetails stellen den Meldungsinhalt bereit, der, wie in "Benachrichtigungsziele" angegeben, geliefert wird.
  8. Sobald Sie die Regel fertiggestellt haben, klicken Sie im Assistenten auf "Speichern und schließen". Wenn Sie eine vordefinierte Korrelationsregel bearbeiten und speichern, erstellt CA Enterprise Log Manager automatisch eine neue Version und behält die Originalversion bei.
  9. Klicken Sie auf die Unterregisterkarte "Services", und blenden Sie den Knoten "Korrelationsservice" ein.
  10. Wählen Sie den Server aus, auf dem Sie die Regel anwenden möchten. Wenn Sie einen Korrelationsserver ermittelt haben, sollten Sie diesen Server auswählen.
  11. Klicken Sie im Bereich "Regelkonfiguration" auf "Anwenden", und wählen Sie die neue Version der Regel "Erfolgreiche Anmeldung nach fehlgeschlagenen Anmeldungen", zu der Sie das Benachrichtigungsziel zuweisen möchten, aus.
  12. Klicken Sie auf "OK", um das Dialogfeld zu schließen und die Regel zu aktivieren.

Weitere Informationen:

Informationen zu Incident-Benachrichtigungen

Informationen zu Korrelationsregeln

Festlegen von Benachrichtigungsstandards

Anwenden der Korrelationsregeln und der Incidents-Benachrichtigungen