|
|
|
Es posible aplicar reglas de correlación predefinidas, utilizar el asistente de reglas de correlación para crear reglas de correlación personalizadas para el entorno o modificar reglas existentes. Las reglas de correlación le permiten identificar grupos de eventos que pueden indicar ataques u otros riesgos de seguridad. Debe poseer el rol de Administrador para crear o editar reglas de correlación.
Cuando crea una regla de correlación, debe seleccionar cuál de los tres tipos desea crear. La plantilla de regla controla qué evento o eventos se consideran un incidente. Están disponibles las siguientes plantillas:
Nota: Para lograr una correlación efectiva, es necesario disponer de una vista completa de los eventos entrantes. Por esta razón se debería valorar la posibilidad de evitar aplicar reglas de supresión o de resumen al nivel del agente. Los eventos que se supriman o se resuman al nivel del agente no se tienen en cuenta para la correlación ni para la creación de incidentes.
La correlación de eventos puede dar lugar a tráfico de red significativo. Por esta razón, se puede valorar la posibilidad de asignar un servidor de correlación dedicado. Si desea obtener más información sobre los roles de servidor, puede consultar la Guía de implementación de CA Enterprise Log Manager.
En caso de que haya más mensajes de incidente de los que el servicio de correlación pueda procesar, éste servicio mantiene una cola de hasta 10.000 mensajes. El resto de mensajes se perderán. CA Enterprise Log Manager generará un evento autocontrolado si esto sucede.
| Copyright © 2011 CA. Todos los derechos reservados. | Enviar correo electrónico a CA Technologies acerca de este tema |