|
|
|
Configurazione del connettore su un agente
Un connettore è un processo di raccolta che viene eseguito con il controllo di un agente ed elabora gli eventi a partire da una singola origine di registro. Un connettore, che si collega ad un dispositivo specifico, utilizza un'integrazione che fornisce le regole per la connessione con quello specifico tipo di dispositivo.
Occorre sapere chi ha avuto accesso ai database di SQL Server 2005 e Oracle 11g nell'arco dell'ultima settimana.
Installare un agente. Creare per quell'agente due connettori, uno per SQL Server 2005 e uno per Oracle 11g, utilizzando le integrazioni predefinite delle due applicazioni. Dopo aver ricevuto gli eventi, eseguire un rapporto per scoprire chi ha avuto accesso a questi database nell'arco dell'ultima settimana.
Filtraggio degli eventi tramite le regole di soppressione
Le regole di soppressione sono delle regole da configurare per impedire ad alcuni eventi non elaborati di apparire nei propri rapporti. È possibile creare regole di soppressione permanenti per eliminare gli eventi di routine che non riguardano la protezione, oltre a creare regole temporanee per eliminare la registrazione di eventi pianificati come la creazione di molti nuovi utenti.
Dal sistema vengono generati moltissimi registri che non sono necessari per la creazione di rapporti o avvisi. Distinguere gli eventi importanti da tutti gli altri è difficile e dispendioso in termini di tempo, perché le origini dei registri eventi generano grandi quantità di dati irrilevanti ai fini della protezione. Questi registri occupano anche inutilmente lo spazio di memorizzazione in linea e negli archivi.
L'analista di protezione è esperto nel controllo di Windows Server 2003 e sa che Windows crea eventi duplicati, ID eventi 560 e 562, durante l'esecuzione del controllo dell'accesso agli oggetti.
Dato che solo ID eventi 562 è necessario per i rapporti di accesso alle risorse, è possibile eliminare ID eventi 560. Per filtrare questo evento, l'amministratore configura una regola di soppressione CA User Activity Reporting Module.
|
Procedura |
Ulteriori informazioni |
|---|---|
|
Creazione di una nuova regola di soppressione Come applicare soppressione e riepilogo ai componenti degli agenti |
Riepilogo degli eventi tramite le regole di riepilogo
Le regole di riepilogo sono regole che uniscono alcuni eventi nativi di tipo comune ottenendo così un unico evento perfezionato. Ad esempio, è possibile configurare una regola di riepilogo per sostituire con un singolo evento di riepilogo fino a 1000 eventi duplicati che abbiano gli stessi indirizzi IP e porte di origine e di destinazione. Regole di questo tipo semplificano l'analisi degli eventi e riducono il traffico di registro.
Alcuni eventi di registro possono essere ripetuti centinaia o migliaia di volte, occupando lo spazio sul disco e rendendo difficile distinguere gli eventi importanti dalla massa. Questi registri occupano anche inutilmente lo spazio di memorizzazione in linea e negli archivi.
L'azienda dell'amministratore di sistema dispone di parecchi firewall Cisco ASA che generano centinaia di eventi al secondo. Non sono necessari tutti gli eventi.
CA User Activity Reporting Module viene configurato da un amministratore in modo da riepilogare e contare i registri firewall che hanno in comune i seguenti campi: source_address, dest_address, dest_port, event_action, event_result.
|
Procedura |
Ulteriori informazioni |
|---|---|
|
|
Azienda con nodo basato sui gruppi
Un gruppo di agenti consente di associare gli agenti per scopi di gestione. Gli agenti possono appartenere soltanto ad un gruppo. Gli agenti non assegnati ad un gruppo appartengono al gruppo predefinito.
Il centro dati aziendale di New York dispone di due agenti, e quello a Chicago di tre. Per scopi di gestione, tali agenti devono essere raggruppati dal centro dati.
Un amministratore crea un gruppo di agenti di New York e uno di Chicago ed assegna gli agenti ai gruppi rispettivi.
|
Procedura |
Ulteriori informazioni |
|---|---|
| Copyright © 2011 CA. Tutti i diritti riservati. | Contatta CA Technologies |