Exemples › Exemples › Gestion des agents

Gestion des agents

Configuration de connecteur sur un agent

Un connecteur est un processus de collecte qui s'exécute sous le contrôle d'un agent et qui collecte et traite des événements provenant d'une seule source de journaux. Un connecteur se connectant à une unité donnée utilise une intégration qui lui fournit les règles de connexion propres à ce type d'unité.

Problème

Vous souhaitez savoir qui a accédé aux bases de données SQL Server 2005 et Oracle 11g au cours de la semaine écoulée.

Solution

Installez un agent. Créez pour cet agent un connecteur SQL Server et un connecteur Oracle à l'aide des intégrations prédéfinies SQL Server 2005 et Oracle 11g. Après avoir reçu les événements, exécutez un rapport pour découvrir qui a accédé à ces bases de données au cours de la semaine souhaitée.

Filtrage d'événements avec règles de suppression

Les règles de suppression sont des règles que vous configurez pour éviter que certains événements bruts n'apparaissent dans vos rapports. Vous pouvez créer des règles de suppression permanentes afin de supprimer des événements de routine sans rapport avec des problèmes de sécurité ; vous pouvez également créer des règles temporaires afin de supprimer la journalisation d'événements planifiés tels que la création de nombreux utilisateurs.

Problème

Les systèmes génèrent des journaux très volumineux sans intérêt pour la génération de rapport ni pour les alertes. Il est difficile de distinguer les événements importants dans ces journaux, et cela prend du temps, car les sources de journaux d'événements génèrent des volumes élevés de données sans rapport avec des problèmes de sécurité. En outre, ces journaux occupent inutilement de l'espace de stockage critique, en ligne et pour archivage.

L'analyste de sécurité est un expert en audit de Windows Server 2003 et il sait que Windows écrit des événements dupliqués lors de l'audit d'accès aux objets (ID d'événement 560 et 562).

Solution

Comme seul l'ID d'événement 562 est nécessaire aux rapports d'accès aux ressources, vous pouvez supprimer l'ID d'événement 560. Un administrateur configure une règle de suppression CA User Activity Reporting Module pour filtrer cet événement.

Récapitulation d'événement avec règles de récapitulation

Les règles de récapitulation sont des règles combinant certains événements natifs, d'un même type, en un seul événement ajusté. Par exemple, une règle de récapitulation peut être configurée pour remplacer par un seul événement de récapitulation jusqu'à 1 000 événements dupliqués, dont les adresses IP et les ports source et de destination sont identiques. De telles règles simplifient l'analyse des événements et réduisent le trafic associé aux journaux.

Problème

Certains événements de journaux peuvent être répétés des centaines ou des milliers de fois, ce qui occupe de l'espace disque et complique la reconnaissance d'événements importants. En outre, ces journaux occupent inutilement de l'espace de stockage critique, en ligne et pour archivage.

L'organisation de l'administrateur système comporte plusieurs pare-feu Cisco ASA qui génèrent des centaines d'événements par seconde. Chaque événement n'est pas nécessaire.

Solution

Un administrateur configure CA User Activity Reporting Module pour récapituler et compter les journaux de pare-feu présentant les champs communs suivants : source_address, dest_address, dest_port, event_action, event_result.

Organisation de noeuds basée sur les groupes

Un groupe d'agents permet d'associer des agents à des fins de gestion. Un agent peut appartenir à un seul groupe. Les agents non affectés à un groupe appartiennent au groupe par défaut.

Problème

Le centre de données de l'organisation à New York compte deux agents, et celui à Chicago trois. A des fins de gestion, ces agents doivent être regroupés par centre de données.

Solution

Un administrateur crée un groupe d'agents de New York et un groupe d'agents de Chicago, puis il affecte les agents à leur groupe respectif.