|
|
|
Pour appliquer des règles de corrélation prédéfinies, utilisez l'assistant de règles de corrélation pour créer des règles de corrélation personnalisée à votre environnement ou pour modifier les règles existantes. Les règles de corrélation permettent d'identifier les groupes d'événements susceptibles de présenter des attaques ou d'autres risques pour la sécurité. Le rôle Administrateur est requis pour créer ou modifier des règles de corrélation.
Lorsque vous créez une règle de corrélation, vous devez sélectionner un type à créer parmi les trois types disponibles. Le modèle de règle contrôle les événements considérés comme des incidents. Les modèles suivants sont disponibles :
Remarque : Pour effectuer la corrélation correctement, vous devez afficher l'intégralité des événements entrants. C'est pourquoi il est recommandé de ne pas appliquer de règles de suppression ou de récapitulation au niveau de l'agent. Tous les événements supprimés ou récapitulés au niveau de l'agent ne seront pas pris en compte pour la corrélation et la création d'incidents.
La corrélation d'événements peut alourdir le trafic réseau. Il est donc recommandé d'affecter un serveur de corrélation dédié. Pour plus d'informations sur les rôles de serveur, consultez le Manuel d'implémentation de CA Enterprise Log Manager.
Si les messages d'incidents sont trop nombreux et empêchent le traitement du service de corrélation, le service de corrélation maintient une file d'attente pouvant contenir un maximum de 10 000 messages. Les messages en surnombre seront perdus. Dans ce cas, CA Enterprise Log Manager génèrera un événement d'auto-surveillance.
| Copyright © 2010 CA. Tous droits réservés. | Envoyer un courriel à CA Technologies sur cette rubrique |