Guida all'implementazioneConfigurazione dei serviziConfigurazione del servizio di correlazione › Utilizzo di regole di correlazione predefinite

Argomento precedente: Applicazione di regole di correlazione e notifiche di incidente

Argomento successivo: Impostazione dei server di raccolta

Utilizzo di regole di correlazione predefinite

CA User Activity Reporting Module fornisce un ampio numero di regole di correlazione predefinite da utilizzare nel proprio ambiente, organizzate per tipo o per requisiti normativi. Ad esempio, nella cartella Regole di correlazione dell'interfaccia Libreria è presente una cartella denominata PCI, contenente le regole per vari requisiti PCI. È inoltre presente una cartella denominata Identità, che contiene le regole generiche per l'autenticazione e l'autorizzazione.

Esistono tre tipi principali di regole, che è possibile includere tutte o singolarmente in ciascuna categoria. Questo argomento fornisce un esempio di scelta e applicazione di una regola di ogni tipo.

Esempio: selezione e applicazione di una regola semplice

Le regole di correlazione semplici consentono di rilevare la presenza di uno stato o un'occorrenza. Ad esempio, è possibile applicare una regola che avvisi per le eventuali attività di creazione account al di fuori del normale orario di ufficio. Prima di applicare una regola, è necessario verificare di aver creato le destinazioni di notifica desiderate per il proprio ambiente.

Per selezionare e applicare la regola Creazione account al di fuori delle ore lavorative

  1. Fare clic sulla scheda Amministrazione, quindi sulla sottoscheda Libreria ed espandere la cartella Regole di correlazione.
  2. Espandere la cartella PCI, quindi la cartella Requisito 8 e selezionare la regola Creazione account al di fuori delle ore lavorative.

    I dettagli della regola verranno visualizzati nel riquadro a destra.

  3. Rivedere i dettagli della regola per verificare che sia appropriata per il proprio ambiente. In questo caso, i filtri consentono di definire l'azione di creazione account e impostare l'orario lavorativo normale per ora e giorno della settimana.
  4. (Facoltativo) Fare clic su Modifica nella parte superiore del riquadro per modificare le impostazioni del filtro, se necessario. Ad esempio, è possibile modificare l'orario lavorativo normale in base alle specifiche del proprio ambiente.

    Viene visualizzata la procedura guidata di gestione delle regole, popolata con i dettagli della regola.

  5. Aggiungere i dettagli di notifica desiderati nella procedura guidata. I dettagli di notifica forniscono il contenuto del messaggio che verrà inviato come specificato in Destinazioni di notifica.
  6. Dopo aver terminato la preparazione della regola, fare clic su Salva e chiudi. Quando si modifica e si salva una regola di correlazione predefinita, CA User Activity Reporting Module crea automaticamente una nuova versione, preservando la versione originale.
  7. Fare clic sulla sottoscheda Servizi e quindi espandere il nodo Servizio di correlazione.
  8. Selezionare il server a cui si desidera applicare la regola. Se si dispone di un server identificato come server di correlazione, selezionare tale server.
  9. Fare clic su Applica nell'area Configurazione regola, quindi selezionare la nuova versione della regola Creazione account al di fuori delle ore lavorative, con la destinazione di notifica desiderata associata alla regola.
  10. Fare clic su OK per chiudere la finestra di dialogo e attivare la regola.

Esempio: selezione e applicazione di una regola di conteggio

Le regole di correlazione di conteggio consentono di identificare una serie di stati o occorrenze identiche. Ad esempio, è possibile applicare una regola che avvisa di cinque o più accessi non riusciti da parte di un account di amministratore. Prima di applicare una regola, è necessario verificare di aver creato le destinazioni di notifica desiderate per il proprio ambiente.

Per selezionare e applicare la regola 5 tentativi di accesso non riuscito per Account amministratore

  1. Fare clic sulla scheda Amministrazione, quindi sulla sottoscheda Libreria ed espandere la cartella Regole di correlazione.
  2. Espandere la cartella Gestione minacce, quindi la cartella Attività account e accesso sospette e selezionare la regola 5 tentativi di accesso non riuscito per Account amministratore.

    I dettagli della regola verranno visualizzati nel riquadro a destra.

  3. Rivedere i dettagli della regola per verificare che sia appropriata per il proprio ambiente. In questo caso, i filtri consentono di definire un account amministratore come nome utente appartenente all'elenco con chiave 'Administrators' e di impostare la soglia di conteggio su 5 eventi in 60 minuti.
  4. (Facoltativo) Fare clic su Modifica nella parte superiore del riquadro per modificare le impostazioni del filtro, se necessario. Ad esempio, è possibile modificare la soglia temporale in 3 eventi in 30 minuti.

    Viene visualizzata la procedura guidata di gestione delle regole, popolata con i dettagli della regola.

  5. Aggiungere i dettagli di notifica desiderati nella procedura guidata. I dettagli di notifica forniscono il contenuto del messaggio che verrà inviato come specificato in Destinazioni di notifica.
  6. Dopo aver terminato la preparazione della regola, fare clic su Salva e chiudi. Quando si modifica e si salva una regola di correlazione predefinita, CA User Activity Reporting Module crea automaticamente una nuova versione, preservando la versione originale.
  7. Fare clic sulla sottoscheda Servizi e quindi espandere il nodo Servizio di correlazione.
  8. Selezionare il server a cui si desidera applicare la regola. Se si dispone di un server identificato come server di correlazione, selezionare tale server.
  9. Fare clic su Applica nell'area Configurazione regola, quindi selezionare la nuova versione della regola 5 tentativi di accesso non riuscito per Account amministratore, con la destinazione di notifica che si desidera associare alla regola.
  10. Fare clic su OK per chiudere la finestra di dialogo e attivare la regola.

Esempio: selezione e applicazione di una regola di transizione di stato

Le regole di correlazione di transizione di stato consentono di identificare una serie di stati o occorrenze una dopo l'altra. Ad esempio, è possibile applicare una regola che avvisi per una serie di accessi non riusciti seguita da un accesso riuscito da parte dello stesso account utente. Prima di applicare una regola, è necessario verificare di aver creato le destinazioni di notifica desiderate per il proprio ambiente.

  1. Fare clic sulla scheda Amministrazione, quindi sulla sottoscheda Libreria ed espandere la cartella Regole di correlazione.
  2. Espandere la cartella Identità, quindi la cartella Autenticazione e selezionare la regola Accessi non riusciti seguiti da accesso corretto.

    I dettagli della regola verranno visualizzati nel riquadro a destra.

  3. Rivedere i dettagli della regola per verificare che sia appropriata per il proprio ambiente. In questo caso, nel riquadro Dettagli vengono visualizzati i due stati registrati dalla regola. Il primo è cinque o più accessi non riusciti per lo stesso account utente o identità. Il secondo è un accesso riuscito da parte dello stesso utente o identità.
  4. (Facoltativo) Fare clic su Modifica nella parte superiore del riquadro per modificare le impostazioni relative allo stato, se necessario.

    Verrà visualizzata la procedura guidata di gestione delle regole, che mostra i due stati che costituiscono la regola.

  5. Fare doppio clic su qualsiasi stato che si desidera modificare.

    Verrà visualizzata la procedura guidata Definizione dello stato, con i dettagli relativi allo stato.

  6. Apportare le modifiche desiderate allo stato selezionato, quindi fare clic su Salva e chiudi per tornare alla procedura guidata di gestione delle regole. Ad esempio, il primo stato verifica la presenza di 5 accessi non riusciti in 10 minuti. È possibile modificare la soglia relativa al numero di accessi non riusciti, il tempo o entrambi.
  7. Aggiungere i dettagli di notifica desiderati nella procedura guidata. I dettagli di notifica forniscono il contenuto del messaggio che verrà inviato come specificato in Destinazioni di notifica.
  8. Dopo aver terminato la preparazione della regola, fare clic su Salva e chiudi. Quando si modifica e si salva una regola di correlazione predefinita, CA User Activity Reporting Module crea automaticamente una nuova versione, preservando la versione originale.
  9. Fare clic sulla sottoscheda Servizi e quindi espandere il nodo Servizio di correlazione.
  10. Selezionare il server a cui si desidera applicare la regola. Se si dispone di un server identificato come server di correlazione, selezionare tale server.
  11. Fare clic su Applica nell'area Configurazione regola, quindi selezionare la nuova versione della regola Accessi non riusciti seguiti da accesso corretto, con la destinazione di notifica desiderata associata alla regola.
  12. Fare clic su OK per chiudere la finestra di dialogo e attivare la regola.

Ulteriori informazioni:

Informazioni sulle notifiche di incidente

Informazioni sulle regole di correlazione

Impostazione di valori predefiniti per la notifica

Applicazione di regole di correlazione e notifiche di incidente