- 从合规性类型字段,选择所需的合规性类型,例如:CCPA, FISMA, PCI, HIPAA, SOX, GLBA, ISO 27001:2013, COCO, NERC。
- 如果您想要排除某些事件ID,则可以在排除事件ID字段进行设置。
自定义告警
- 从下拉列表中选择所需字段。
- 在文本框中为左侧选择的内容设置匹配值。
为导入的日志生成告警
对于通过导入日志添加的应用,如Oracle, Microsoft SQL, print Servers, IIS等,您也可以为它的日志附加字段配置告警。
要为导入日志的特定自定义提取字段生成告警,请选择日志类型并选择需要触发告警的导入日志。指定必须触发告警的自定义字段和值。EventLog Analyzer将自动填充所选日志类型的所有自定义提取字段,您可以从列表中选择所选字段,然后指定所选自定义字段的值。
注意:: 您可以使用+图标添加多个自定义附加字段。
输入告警配置文件的通知类型。
默认告警配置文件
EventLog Analyzer拥有预制的告警配置文件,新添加的设备将自动添加到相应的告警配置文件,例如,防火墙设备将自动添加到基于网络设备的告警配置文件中。
您可以编辑,启用,禁用或删除默认的告警配置文件。
提示:如果修改默认的告警配置文件,将会对新添加的设备失效。对于手动添加的告警配置文件,只对所选的设备产生告警。
告警通知和措施
EventLog Analyzer为您提供了2种告警通知机制
您还可以执行脚本动作。
邮件告警设置
请输入邮件告警通知明细。
- 勾选邮件通知复选框。
- 输入收件人地址,对于多个邮件地址请使用逗号(,)隔开。
- 为邮件通知添加主题。也可以在主题直接添加参数。点击“宏”查看参数列表并选择所需参数。
- 这里显示了默认的邮件内容。您也可以修改或添加参数。点击保存配置文件。
提示:邮件内容相关性告警的邮件内容可以被定制,包括规则名称,相关性时间,动作。此外,您还可以添加指定字段,如下所示:
- 如果您没有配置邮件服务器,那么在您配置邮件通知时将会弹出提示,要求您配置邮件服务器。
短信通知告警设置
请输入短信告警通知明细。
- 请勾选短信通知复选框。
- 输入收件人电话号码。
- 如需自定义短信内容,请点击添加更多字段,然后点击短消息字段。
如果您未进行短信配置,那么当您勾选短信通知时,将会弹出对话框,要求您进行相应配置。
提示:使用运行程序的通知现在可以和事件管理工作流进行配置了。
向安全事件指派工作流
您可以将事件工作流与安全告警配置进行关联。这样,当触发告警时,相应工作流将会自动执行,您可以在关联工作流页面查看状态。
指派工作流到新的安全告警:
- 点击告警 → +添加告警配置文件,或者
- 点击+添加告警
按照上面的步骤配置告警。
指派工作流到现存告警:
点击告警→ 告警配置 → 管理告警配置文件 →选择更新
图标,选择需要生成告警的设备或设备组。