|
|
|
È possibile applicare le regole di correlazione predefinite, utilizzare la procedura guidata per creare regole di correlazione personalizzate per il proprio ambiente oppure modificare le regole esistenti. Le regole di correlazione consentono di identificare gruppi di eventi che potrebbero indicare attacchi o altri rischi per la sicurezza. Per creare o modificare le regole di correlazione è necessario disporre del ruolo di Amministratore.
Quando si crea una regola di correlazione, è necessario selezionare quale dei tre tipi di regola si desidera creare. Il modello della regola controlla l'evento o gli eventi che vengono considerati un incidente. Sono disponibili i modelli indicati di seguito:
Nota: la correlazione effettiva richiede la visualizzazione completa degli eventi in entrata. Per questa ragione si sconsiglia di applicare le regole di soppressione e aggregazione a livello agente. Gli eventi soppressi o aggregati a livello dell'agente non vengono inclusi nella correlazione e nella creazione incidente.
La correlazione eventi può determinare un elevato traffico di rete, si consiglia pertanto di assegnare un server di correlazione dedicato. Per ulteriori informazioni sui ruoli del server, consultare la Guida all'implementazione di CA User Activity Reporting Module.
In caso di un numero elevato di messaggi incidente da elaborare, il servizio di correlazione può mantenere in attesa fino a un massimo di 10.000 messaggi. Una volta raggiunto questo limite, i messaggi in eccesso vengono eliminati. In tal caso, CA User Activity Reporting Module genera eventi con monitoraggio automatico.
| Copyright © 2011 CA. Tutti i diritti riservati. | Contatta CA Technologies |