Manuel d'implémentationConfiguration des servicesConfiguration du service de corrélation › Utilisation de règles de corrélation prédéfinies

Rubrique précédente: Application de règles de corrélation et de notifications d'incidents

Rubrique suivante: Définition des serveurs de collecte

Utilisation de règles de corrélation prédéfinies

CA Enterprise Log Manager fournit un grand nombre de règles de corrélation prédéfinies pour une utilisation dans votre environnement, organisées par type ou condition de réglementation. Par exemple, dans le dossier de règles de corrélation de l'interface de la bibliothèque, un dossier intitulé PCI apparaît contenant les règles pour plusieurs conditions PCI. Un dossier intitulé Identité est également créé. Il contient les règles générales relatives à l'autorisation et à l'authentification.

Il existe trois types principaux de règles pouvant être incluses dans chacune des catégories. Cette rubrique propose un exemple de sélection et d'application de chaque type.

Exemple : sélection et application d'une règle simple

Les règles de corrélation simples détectent la présence d'un état ou d'une occurrence. Par exemple, vous pouvez appliquer une règle vous informant sur les activités de création de compte en dehors des heures de bureau habituelles. Avant d'appliquer une règle, créez les destinations de notification dont vous avez besoin pour votre environnement.

Pour sélectionner et appliquer la règle Création de comptes en dehors des heures habituelles de bureau :

  1. Cliquez sur l'onglet Administration, puis sur le sous-onglet Bibliothèque et développez le dossier Règles de corrélation.
  2. Développez le dossier PCI, puis le dossier Condition 8 et sélectionnez la règle Création de comptes en dehors des heures habituelles de bureau.

    Les détails de la règle s'affichent dans le volet droit.

  3. Vérifiez les informations de la règle et vérifiez qu'elle s'adapte à votre environnement. Si tel est le cas, les filtres définissent l'action de création de compte et définissent les heures de bureau habituelles par heure et jour de la semaine.
  4. (Facultatif) Cliquez sur Modifier en haut du volet pour modifier les paramètres de filtre, si nécessaire. Par exemple, vous pouvez changer les heures de travail habituelles et les ajuster aux spécifications régionales.

    L'assistant de gestion des règles s'ouvre et affiche les informations détaillées de la règle.

  5. Ajoutez tous les détails de notification nécessaires dans le l'assistant de gestion des règles. Les détails de notification fournissent le contenu du message délivré aux destinations de notification.
  6. Après avoir préparé la règle, cliquez sur Enregistrer et fermer dans l'assistant. Lorsque vous modifiez et enregistrez une règle de corrélation prédéfinie, CA Enterprise Log Manager crée automatiquement une nouvelle version, en conservant la version originale.
  7. Cliquez sur le sous-onglet Services, puis développez le noeud Service de corrélation.
  8. Sélectionnez le serveur sur lequel vous voulez appliquer la règle. Si vous avez identifié un serveur de corrélation, sélectionnez-le.
  9. Cliquez sur Appliquer dans la zone Configuration de la règle et sélectionnez la nouvelle version de la règle Création de comptes en dehors des heures habituelles de bureau, ainsi que la destination de notification que vous voulez associer.
  10. Cliquez sur OK pour fermer la boîte de dialogue et activez la règle.

Exemple : sélection et application d'une règle de comptabilisation

Les règles de corrélation de comptabilisation identifient un ensemble d'états ou d'occurrences identiques. Par exemple, vous pouvez appliquer une règle qui vous informe lorsqu'au moins cinq échecs de connexion se produisent pour un compte d'administrateur. Avant d'appliquer une règle, créez les destinations de notification dont vous avez besoin pour votre environnement.

Pour sélectionner et appliquer la règle 5 échecs de connexion par compte d'administrateur :

  1. Cliquez sur l'onglet Administration, puis sur le sous-onglet Bibliothèque et développez le dossier Règles de corrélation.
  2. Développez le dossier Gestion des menaces, puis le dossier Activité suspecte des compte et des connexions et sélectionnez la règle 5 échecs de connexion par compte d'administrateur.

    Les détails de la règle s'affichent dans le volet droit.

  3. Vérifiez les informations de la règle et vérifiez qu'elle s'adapte à votre environnement. Dans ce cas, les filtres définissent un compte d'administrateur en tant que nom d'utilisateur appartenant à la liste à clés Administrateurs et ils définissent le seuil sur 5 événements en 60 minutes.
  4. (Facultatif) Cliquez sur Modifier en haut du volet pour modifier les paramètres de filtre, si nécessaire. Par exemple, vous pouvez modifier et définir la limite d'heure sur 3 événements en 30 minutes.

    L'assistant de gestion des règles s'ouvre et affiche les informations détaillées de la règle.

  5. Ajoutez tous les détails de notification nécessaires dans le l'assistant de gestion des règles. Les détails de notification fournissent le contenu du message délivré aux destinations de notification.
  6. Après avoir préparé la règle, cliquez sur Enregistrer et fermer dans l'assistant. Lorsque vous modifiez et enregistrez une règle de corrélation prédéfinie, CA Enterprise Log Manager crée automatiquement une nouvelle version, en conservant la version originale.
  7. Cliquez sur le sous-onglet Services, puis développez le noeud Service de corrélation.
  8. Sélectionnez le serveur sur lequel vous voulez appliquer la règle. Si vous avez identifié un serveur de corrélation, sélectionnez-le.
  9. Cliquez sur Appliquer dans la zone Configuration de la règle et sélectionnez la nouvelle version de la règle 5 échecs de connexion par le compte d'administrateur, ainsi que la destination de notification que vous voulez associer.
  10. Cliquez sur OK pour fermer la boîte de dialogue et activez la règle.

Exemple : sélection et application d'une règle de transition d'état

Les règles de corrélation de transition d'état identifient une série d'états ou occurrences à tour de rôle. Par exemple, vous pouvez appliquer une règle qui vous informe en cas d'échecs de connexion suivis d'une connexion réussie pour un même compte d'utilisateur. Avant d'appliquer une règle, créez les destinations de notification dont vous avez besoin pour votre environnement.

  1. Cliquez sur l'onglet Administration, puis sur le sous-onglet Bibliothèque et développez le dossier Règles de corrélation.
  2. Développez le dossier Identité, puis le dossier Authentification et sélectionnez la règle Echecs de connexion suivis d'une connexion réussie.

    Les détails de la règle s'affichent dans le volet droit.

  3. Vérifiez les informations de la règle et vérifiez qu'elle s'adapte à votre environnement. Dans ce cas, le volet de détails affiche les deux états suivis par la règle. Le premier état correspond à cinq échecs de connexions ou plus pour un même compte d'utilisateur ou une même identité. Le deuxième état correspond à une connexion réussie pour un utilisateur ou une identité.
  4. (Facultatif) Cliquez sur Modifier en haut du volet pour modifier les paramètres d'état, si nécessaire.

    L'assistant de gestion des règles s'ouvre et affiche les deux états qui composent la règle.

  5. Double-cliquez sur l'état que vous souhaitez modifier.

    L'assistant de définition d'états apparaît et affiche les détails de l'état.

  6. Modifiez l'état sélectionné et cliquez sur Enregistrer et fermer pour ouvrir de nouveau l'assistant de gestion des règles. Par exemple, le premier état vérifie la présence de 5 échecs de connexion en 10 minutes. Vous pouvez modifier le seuil d'échecs de connexions, l'heure ou les deux.
  7. Ajoutez tous les détails de notification nécessaires dans le l'assistant de gestion des règles. Les détails de notification fournissent le contenu du message délivré aux destinations de notification.
  8. Après avoir préparé la règle, cliquez sur Enregistrer et fermer dans l'assistant. Lorsque vous modifiez et enregistrez une règle de corrélation prédéfinie, CA Enterprise Log Manager crée automatiquement une nouvelle version, en conservant la version originale.
  9. Cliquez sur le sous-onglet Services, puis développez le noeud Service de corrélation.
  10. Sélectionnez le serveur sur lequel vous voulez appliquer la règle. Si vous avez identifié un serveur de corrélation, sélectionnez-le.
  11. Cliquez sur Appliquer dans la zone Configuration de la règle et sélectionnez la nouvelle version de la règle Echecs de connexion suivis d'une connexion réussie, ainsi que la destination de notification que vous voulez associer.
  12. Cliquez sur OK pour fermer la boîte de dialogue et activez la règle.

Informations complémentaires :

A propos des notifications d'incidents

A propos des règles de corrélation

Définition des valeurs par défaut de notification

Application de règles de corrélation et de notifications d'incidents