Manuel d'administrationAlertes d'actionPersonnalisation de requêtes pour les alertes d'action › Identification du filtre simple pour les événements graves

Rubrique précédente: Personnalisation de requêtes pour les alertes d'action

Rubrique suivante: Création d'une requête pour récupérer les événements graves uniquement

Identification du filtre simple pour les événements graves

Le niveau de sévérité d'un événement peut varier de Information à Irrécupérable. CA affecte une valeur comprise entre 2 et 7 pour indiquer la sévérité d'un événement sur la base du
modèle CEG : Catégorie, Classe, Action et Résultat. Le niveau de sévérité 7 est attribué aux événements d'arrêt du système. Le niveau de sévérité 6 est attribué aux événements ayant d'importantes implications en matière de sécurité ou exigeant une attention immédiate.

Si vous prévoyez de créer des requêtes personnalisées ou de personnaliser des requêtes prédéfinies pour les utiliser dans des alertes, il peut être intéressant d'étudier les définitions du modèle CEG concernant les types d'événements graves. Les définitions du modèle sont à la base des filtres simples. Vous pouvez créer des requêtes chargées de récupérer des événements sur la base des éléments que vous avez spécifiés pour la catégorie, la classe, l'action et le résultat de ces événements.

Les filtres simples incluent les valeurs de catégorie, de classe, d'action et de résultat d'événement.

Pour identifier le filtre simple d'événements graves

  1. Cliquez sur le lien Aide.
  2. Développez Grammaire commune aux événements et sélectionnez Affectation du niveau de sécurité.
  3. Copiez le tableau dans une feuille de calcul et triez le Niveau de sécurité du plus élevé au plus faible.

    Le tableau ainsi obtenu répertorie les types d'événement, en commençant par le plus grave, suivant le Niveau de sécurité CA attribué.

    Voici un exemple. Vos résultats refléteront les définitions CEG existantes.

Catégorie

Classe

Action

Résultat

Niveau de sécurité

Sécurité opérationnelle

Activité du système

Arrêt du système

Terminé

7

Sécurité opérationnelle

Activité du système

Arrêt du système

Echec

7

Gestion de la configuration

Gestion de la configuration

Erreur de configuration

Terminé

6

Accès aux données

Gestion des objets

Création d'un fichier de contrôle

Terminé

6

Sécurité de l'hôte

Activité antivirus

Erreur d'analyse

Terminé

6

Sécurité de l'hôte

Activité antivirus

Nettoyage de virus

Echec

6

Sécurité de l'hôte

Activité antivirus

Virus détecté

Terminé

6

Sécurité de l'hôte

Activité antivirus

Mise en quarantaine de virus

Echec

6

Sécurité de l'hôte

Activité IDS/IPS

Violation de signature

Terminé

6

Sécurité du réseau

Activité de violation de signature

Violation de signature

Terminé

6

Sécurité opérationnelle

Activité du système

Démarrage du système

Echec

6

Sécurité opérationnelle

Activité du journal de sécurité

Suppression du journal de sécurité

Terminé

6

Sécurité opérationnelle

Activité du journal de sécurité

Suppression du journal de sécurité

Echec

6

Accès au système

Activité d'authentification

Reprise d'authentification

Echec

6

Accès au système

Activité d'authentification

Démarrage d'authentification

Echec

6