|
|
|
Una alerta de acción es una tarea de consulta programada que se puede emplear para detectar infracciones de políticas, tendencias de uso, patrones de inicio de sesión y otros datos que pueden requerir atención a corto plazo. Por ejemplo, puede detectar la existencia de eventos de gravedad alta e informar a la persona, el producto o el proceso que se haya determinado. Todas las alertas se añaden a una fuente RSS. Si se configura, la alerta puede informar a los usuarios a través del correo electrónico, ejecutar el proceso de CA IT PAM configurado o enviar mensajes SNMP a un servidor remoto.
Personalización de la configuración/definición de alertas
Un Administrator del sistema vuelve a nombrar la cuenta Administrator de Windows como TheMan, pero esta cuenta aún requiere ciertas tareas administrativas como la instalación de nuevos programas de software en servidores de producción. Bajo circunstancias normales, esta cuenta no debería usarse, y su uso está rigurosamente controlado por un comité de supervisión interno. La actividad de inicio de sesión relacionada con esta cuenta se trata de una infracción de política potencial y requiere una notificación inmediata. Dado que esta cuenta ya no se llama Administrator, las alertas listas para usar no la reconocen como una cuenta con privilegios.
Un Administrator añade TheMan como valor para la lista con clave Default_Accounts y, a continuación, programa una alerta que ejecuta la consulta Inicio de sesión correcto por cuentas predeterminadas en las últimas 24 horas. Esta consulta utiliza la lista con clave Default_Accounts. Se generará una alerta cuando se produzca un inicio de sesión correcto mediante TheMan o cualquier otro valor para la clave Default_Accounts.
|
Procedimiento |
Más información |
|---|---|
|
Personalización de valores con clave Envío de una alerta que ejecuta un proceso de CA IT PAM por fila |
Para ver información básica, véase: Acerca de las alertas de acción Consideraciones de las alertas de acción Para ejemplos, véase: Creación de una alerta de acción para espacio en disco bajo Creación de una alerta para los eventos autocontrolados Creación de una alerta para recursos críticos para el negocio |
Generación automática de alertas por correo electrónico
El Administrator necesitará que lo informen de cualquier registro que indique acceso indebido a los recursos como servidores críticos, archivos, directorios, URL y otros recursos de las TI. Este tipo de acceso indebido es una infracción de política potencial que debe ser documentada en los informes de cumplimiento y contra la que se debe actuar.
Un Analyst configurará CA Enterprise Log Manager para notificar al Administrator a través del correo electrónico (Blackberry) cuando se produzca una infracción de control.
|
Procedimiento |
Más información |
|---|---|
|
Configuración de destinos de las notificaciones Ejemplo: Envío de un correo electrónico al Administrator cuando se detiene el flujo de eventos |
|
Generación automática de alertas mediante RSS
Los Administrators necesitan asegurarse de que su organización cumple con los controles de PCI, de otro modo la compañía deberá hacer frente a multas de cantidades considerables. En el caso que se produzcan las infracciones de control, necesitan actuar rápidamente para que la organización vele por el cumplimiento de los controles de PCI. Tres Administrators comparten la responsabilidad de actuar en esta alertas durante tres momentos del día distintos. Cada uno de los Administrators desea recibir alertas mediante un lector RSS predilecto en una única llamada, antes que recibir todo tipo de alertas a cualquier hora del día.
Cuando se produzcan las infracciones de control, un Administrator deberá configurar SharpReader durante la llamada para recibir las alertas de CA Enterprise Log Manager mediante RSS. Los otros dos Administrators ejecutarán FeedReader para las notificaciones de alertas de CA Enterprise Log Manager cuando se produzca la llamada. Cada uno de ellos sólo recibirá las alertas cuando ejecuten el cliente de RSS.
|
Procedimiento |
Más información |
|---|---|
|
|
Generación automática de alertas de Help Desk mediante CA IT PAM
Muchos sistemas ampliamente utilizados en el mercado se instalan con cuentas con privilegios predeterminadas proporcionadas por el distribuidor. Por ejemplo, los sistemas operativos de Windows se instalan con cuentas con privilegios de Administrator. Muchas organizaciones tienen una política de seguridad que establece que los Administrators de sistemas no deben hacer uso de dichos privilegios sin autorización escrita previa. Cuando se utiliza alguna de estas cuentas, la organización debe encontrar un modo para alertar lo antes posible a Help Desk, de modo que éste pueda comprobar si se ha concedido o denegado el privilegio de uso de este tipo de cuentas.
Imagine un escenario en qué el proceso de Help Desk se configura en CA IT PAM.
La generación de alertas de Help Desk es una buena solución. Una vez configurada la integración con CA IT PAM, puede identificar la consulta que captura cada uno de los eventos que incluyen inicios de sesión en cuentas con privilegios, configurar la lista con clave con nombres de usuario de cuentas con privilegios que quiera restringir, y programar un alerta que notifique a CA IT PAM cuando CA Enterprise Log Manager detecte un inicio de sesión correcto en una cuenta con privilegios. Puede introducir una descripción con los campos de la gramática de eventos comunes para las variables que CA IT PAM puede utilizar para rellenar el campo Descripción de Help Desk para este ticket de Help Desk. Cuando la alerta programada basada en esta consulta devuelve un evento, CA Enterprise Log Manager automáticamente envía el evento y la descripción correspondiente a CA IT PAM. CA IT PAM procesa esta información y crea el ticket de Help Desk.
Generación manual de alertas de Help Desk mediante CA IT PAM
SOX requiere que las organizaciones realicen un seguimiento de los cambios de configuración y las aprobaciones de estos. Diversas organizaciones utilizan CA Service Desk para supervisar y controlar todos los problemas e incidentes, incluidas las investigaciones de infracción de políticas, y realizar los informes pertinentes. Supongamos que un Analyst está investigando un incidente y descubre que las cuentas con privilegios se utilizaron fuera de las horas de oficina. Esto se muestra mediante eventos obtenidos a partir de la consulta de detalles de las sesiones de usuario con privilegios.
El Analyst ejecuta el proceso de salida de alerta/evento de CA IT PAM que crea un ticket de Help Desk para el evento seleccionado. Las instrucciones de descripción y resumen describen lo que ha sucedido mediante los campos de la gramática de eventos comunes. La confirmación muestra el número de solicitud creado en CA Service Desk. El Analyst inicia sesión en CA Service Desk, selecciona las solicitudes e introduce el número de solicitud. El Analyst revisa el ticket de Help Desk creado en CA Enterprise Log Manager con las instrucciones de descripción y resumen en las que se reflejan los datos reales.
|
Procedimiento |
Más información |
|---|---|
|
|
Generación automática de alertas del Centro de operaciones de red mediante mensajes SNMP
Los Centros de operaciones de red (NOCs) controlan la red para las condiciones que pueden requerir de intervención para evitar el impacto en la disponibilidad del servicio o en el rendimiento de la red. Un cambio de configuración a un sistema crítico es un ejemplo de una acción inicializada por el usuario que puede afectar la disponibilidad del servicio. Muchas organizaciones requieren Administrators para obtener autorización previa antes de llevar a cabo un cambio similar en la configuración. Es importante para el Centro de operaciones de red ser capaz de verificar que se han autorizado dichos cambios lo antes posible tras su realización.
Supongamos el escenario en el que un Centro de operaciones de red utiliza CA Spectrum NFM para llevar a cabo el seguimiento de la disponibilidad del sistema y del servicio. Se debe alertar a Spectrum cada vez que se realice un cambio en la configuración.
La generación de alertas de SNMP permite solventar este problema. Los cambios en la configuración generan eventos que las consultas de CA Enterprise Log Manager pueden capturar. Puede programar las alertas basadas en estas consultas. Una vez configurada la integración con mensajes SNMP, puede alertar directamente al sistema de control, como por ejemplo CA Spectrum. Esta alerta a modo de ejemplo envía todos los eventos de cambios en la configuración a Spectrum mediante SNMP, su método de entrada estándar. Al recibir una alerta indicando que se han producido cambios en la configuración de un sistema en concreto, el icono de Spectrum para ese sistema cambia de color, de verde a amarillo. A partir de ese momento, el personal del Centro de operaciones de red podrá comprobar si existía autorización previa para realizar el cambio. En caso contrario, podrá llevar a cabo las acciones pertinentes.
| Copyright © 2010 CA. Todos los derechos reservados. | Enviar correo electrónico a CA Technologies acerca de este tema |