Guía de implementaciónConfiguración de serviciosConfiguración del servicio de correlación › Uso de reglas de correlación predefinidas

Tema anterior: Aplicación de reglas de correlación y notificaciones de incidentes

Tema siguiente: Establecimiento de servidores de recopilación

Uso de reglas de correlación predefinidas

CA Enterprise Log Manager proporciona un gran número de reglas de correlación predefinidas para utilizar en su entorno, organizadas por requisito de tipo o legal. Por ejemplo, en la carpeta de Reglas de correlación de la interfaz Biblioteca, se encuentra la carpeta PCI, que contiene reglas para diversos requisitos de PCI. También está la carpeta Identidad, que contiene reglas de uso general sobre autorización y autenticación.

Hay tres tipos principales de reglas, que se pueden incluir en cada categoría. Este tema muestra un ejemplo sobre cómo elegir y aplicar una regla de cada tipo.

Ejemplo: Selección y aplicación de una regla sencilla

Las reglas de correlación sencillas detectan la presencia de un estado o repetición. Por ejemplo, puede aplicar una regla que le alerte para la actividad de creación de cuentas fuera del horario de oficina normal. Antes de aplicar cualquier regla, debe asegurarse de que ha creado los destinos de notificación que desee para su entorno.

Para seleccionar y aplicar la regla Creación de cuentas fuera del horario de oficina

  1. Haga clic en la ficha Administración, a continuación, en la subficha Biblioteca, y expanda la carpeta Reglas de correlación.
  2. Expanda la carpeta PCI, después la carpeta Requisito 8 y seleccione la regla Creación de cuentas fuera del horario de oficina.

    En el panel derecho aparecerán los detalles de la regla.

  3. Revise los detalles de la regla para asegurarse de que la regla es apropiada para su entorno. En este caso, los filtros definen la acción de creación de cuentas, y establecen los horarios comerciales normales en hora y día de la semana.
  4. (Opcional) Haga clic en Editar en la parte superior del panel para modificar la configuración del filtro, en caso de que sea necesario. Por ejemplo, podría cambiar el horario de trabajo normal para ajustarse a sus especificaciones locales.

    Se abrirá el asistente de gestión de reglas con los detalles de la regla introducidos.

  5. Agregue cualquier detalle de notificación que desee en el asistente de gestión de reglas. Los detalles de notificación proporcionan el contenido del mensaje que se proporciona en función de lo que se especifique en los destinos de notificación.
  6. Una vez que haya terminado de preparar la regla, haga clic en Guardar y cerrar en el asistente. Cuando edita y guarda una regla de correlación predefinida, CA Enterprise Log Manager crea automáticamente una nueva versión y conserva la versión original.
  7. Haga clic en la subficha Servicios y, a continuación, expanda el nodo Servicio de correlación.
  8. Seleccione el servidor en el que desea aplicar la regla. Si ha identificado un servidor de correlación debe seleccionar dicho servidor.
  9. Haga clic en Aplicar en el área Configuración de regla, y seleccione la nueva versión de la regla Creación de cuentas fuera del horario comercial normal, junto con el destino de notificación que desee que esté asociado a la regla.
  10. Haga clic en Aceptar para cerrar el cuadro de diálogo y activar la regla.

Ejemplo: Selección y aplicación de una regla de recuento

Las reglas de correlación de recuento identifican una serie de estados o repeticiones idénticos. Por ejemplo, es posible aplicar una regla que le alerta sobre la ocurrencia de cinco o más inicios de sesión erróneos por una cuenta de administrador. Antes de aplicar cualquier regla, debe asegurarse de que ha creado los destinos de notificación que desee para su entorno.

Para seleccionar y aplicar la regla 5 inicios de sesión erróneos por cuenta de administrador.

  1. Haga clic en la ficha Administración, a continuación, en la subficha Biblioteca, y expanda la carpeta Reglas de correlación.
  2. Expanda la carpeta Gestión de las amenazas, a continuación la carpeta Actividad de inicio de sesión y cuenta sospechosas, y seleccione la regla "5 inicios de sesión erróneos por cuenta de administrador".

    En el panel derecho aparecerán los detalles de la regla.

  3. Revise los detalles de la regla para asegurarse de que la regla es apropiada para su entorno. En este caso, los filtros definen una cuenta de administrador como un nombre del usuario que pertenece a la lista con claves 'Administradores', y establecen el umbral de recuento a 5 eventos en 60 minutos.
  4. (Opcional) Haga clic en Editar en la parte superior del panel para modificar la configuración del filtro, en caso de que sea necesario. Por ejemplo, podría cambiar el umbral de tiempo a 3 eventos en 30 minutos.

    Se abrirá el asistente de gestión de reglas con los detalles de la regla introducidos.

  5. Agregue cualquier detalle de notificación que desee en el asistente de gestión de reglas. Los detalles de notificación proporcionan el contenido del mensaje que se proporciona en función de lo que se especifique en los destinos de notificación.
  6. Una vez que haya terminado de preparar la regla, haga clic en Guardar y cerrar en el asistente. Cuando edita y guarda una regla de correlación predefinida, CA Enterprise Log Manager crea automáticamente una nueva versión y conserva la versión original.
  7. Haga clic en la subficha Servicios y, a continuación, expanda el nodo Servicio de correlación.
  8. Seleccione el servidor en el que desea aplicar la regla. Si ha identificado un servidor de correlación debe seleccionar dicho servidor.
  9. Haga clic en Aplicar en el área Configuración de regla, y seleccione la nueva versión de la regla 5 inicios de sesión erróneos por cuenta de administrador, junto con el destino de notificación que desee que esté asociado a la regla.
  10. Haga clic en Aceptar para cerrar el cuadro de diálogo y activar la regla.

Ejemplo: Selección y aplicación de una regla de transición de estado

Las reglas de correlación de transición de estado identifican a su vez una serie de estados o repeticiones. Por ejemplo, se puede aplicar una regla que le alerte sobre la ocurrencia de inicios sesión erróneos seguidos de un inicio de sesión correcto de la misma cuenta de usuario. Antes de aplicar cualquier regla, debe asegurarse de que ha creado los destinos de notificación que desee para su entorno.

  1. Haga clic en la ficha Administración, a continuación, en la subficha Biblioteca, y expanda la carpeta Reglas de correlación.
  2. Expanda la carpeta Identidad, a continuación la carpeta Autenticación y seleccione la regla Inicios de sesión erróneos seguidos de un inicio de sesión correcto.

    En el panel derecho aparecerán los detalles de la regla.

  3. Revise los detalles de la regla para asegurarse de que la regla es apropiada para su entorno. En este caso, el panel de detalles muestra los dos estados que sigue la regla. El primero es cinco o más inicios de sesión erróneos por la misma cuenta de usuario o identidad. El segundo es un inicio de sesión correcto por ese mismo usuario o identidad.
  4. (Opcional) Haga clic en Editar en la parte superior del panel para modificar la configuración de estado, en caso de que sea necesario.

    Se abrirá el asistente de gestión de reglas y mostrará los dos estados que constituyen la regla.

  5. Haga doble clic en cualquier estado que desee modificar.

    Aparecerá el asistente de definición del estado y mostrará los detalles del estado.

  6. Realice cualquier cambio de estado que desee al estado seleccionado y haga clic en Guardar y cerrar para volver al asistente de gestión de reglas. Por ejemplo, el primer estado busca 5 inicios de sesión erróneos en 10 minutos. Es posible cambiar el umbral de inicio de sesión erróneo, el tiempo, o ambos.
  7. Agregue cualquier detalle de notificación que desee en el asistente de gestión de reglas. Los detalles de notificación proporcionan el contenido del mensaje que se proporciona en función de lo que se especifique en los destinos de notificación.
  8. Una vez que haya terminado de preparar la regla, haga clic en Guardar y cerrar en el asistente. Cuando edita y guarda una regla de correlación predefinida, CA Enterprise Log Manager crea automáticamente una nueva versión y conserva la versión original.
  9. Haga clic en la subficha Servicios y, a continuación, expanda el nodo Servicio de correlación.
  10. Seleccione el servidor en el que desea aplicar la regla. Si ha identificado un servidor de correlación debe seleccionar dicho servidor.
  11. Haga clic en Aplicar en el área Configuración de regla, y seleccione la nueva versión de la regla Inicios de sesión erróneos seguidos por una regla correcta, junto con el destino de notificación que desee que esté asociado a la regla.
  12. Haga clic en Aceptar para cerrar el cuadro de diálogo y activar la regla.

Más información:

Acerca de las notificaciones de incidentes

Acerca de las reglas de correlación

Establecimiento de valores predeterminados de notificación

Aplicación de reglas de correlación y notificaciones de incidentes