主页 » 实时事件相关性 » 管理相关规则

管理相关规则

即用相关性规则

EventLog Analyzer提供了超过50多个不同类别的预定义的规则:文件管理、组织管理、用户管理、设备管理、身份验证、Windows防火墙规则、授权、审计政策和软件管理。

规则概览窗口提供了:

    • 相关规则的直观探讨图形指示板
    • 规则面板提供的预定义列表相关规则、事件计数和最近发生的事件。
    • 用户还可以从这个窗口配置,设置通知,启用/禁用的规则。
    • 通过点击相应的事件计数规则,你可以深度探讨任何特定的规则的原始日志

分类/规则视图

查看基于特定分类的规则,点击顶部的分类视图链接

查看没有基于类别的分类整个规则列表,点击规则视图链接

启用/禁用规则

默认情况下,添加到EventLog Analyzer服务器的所有日志数据资源的所有预定义规则都是启用的。如果你想要仅用一条规则/一组规则:

  1. 选择你需要禁用的规则/规则组

  2. 规则设置选项将出现在规则表的顶部

点击禁用

同样的,启用已禁用的规则,用户可以选择规则/规则组并点击启用来激活规则

规则报表

获取相关规则的报表,点击该规则。

规则报表页面为你提供了事件计数和目的地主机的直观图形指示板。

规则报表明细包括了主机类型、目标/源主机、用户来源,发生时间的事件,消息,登录类型,登录ID,已经更多的相关规则。

注意:报表视图中,用户可以在列表表格之间相互切换

EventLog Analyzer启用了用户对相关规则执行搜索原始日志的交互式搜索窗口

  1. 从现有列表中选择搜索条件(主机类型、目的地主机源用户登录类型和更多)

  2. 选择关系操作符

  3. 提供指定标准的搜索值

  4. 使用多个标准和相关布尔操作符搜索
注意:您可以以报表的形式保存搜索结果并调度它们

保存和调度规则报表

      1. 在任何时候你也可以通过点击相应的图标以PDF和CSV格式直接导出报表

      2. 点击保存报表保存和进度报表/搜索结果的规则

    调度规则报表

  1. 提供报表的名称

  2. 你可以通过指定包含/排除标准改善你的规则报表

    1. 从现有列表选择搜索条件(主机类型、目的地主机源用户登录类型和更多)

    2. 选择关系操作符

    3. 提供指定标准的搜索值

    4. 使用多个标准和相关布尔操作符搜索

  1. 每小时/每日/每周/每月的基础生成调度报表。 如果你想在指定时间生成报表一次,选择只一次选项

  2. 指定生成报表的日期和时间

  3. 选择生成报表的时间段

  4. 选择报表的格式 (PDF/CSV)

  5. 你也可以通过电子邮件重新分配报告。提供要发送报告的电子邮件。 指定多个电子邮件id(由逗号分隔)

注意:如果你没有配置邮件服务器或如果你想重新配置,点击配置或重新配置链接

 

 

添加新规则

您可以添加一个新的相关规则。

点击添加新规则链接

遵循以下给定程序添加一个新的关联规则:

  1. 为新规则输入一个名称

  2. 添加一个新规则的描述

  3. 搜索和选择或选择现有的规则或类别

  4. 添加一个在多少时间之内发生多少次事件相关的标准

  5. 点击下一步按钮

  6. 添加一个源用户

  7. 添加一个源主机,或者从列表中选择一个主机

  8. 添加一个目的地主机,或者从列表中选择一个主机

  9. 点击应用按钮完成新规则的添加

 

 

配置规则过滤器

使用EventLog Analyzer,用户可以使用过滤器和定制现有的相关规则来满足他们的内部安全政策。配置规则过滤器,点击配置图标选择需要应用过滤器相应的规则。

配置规则过滤窗口有规则描述以及为用户提供选项来排除用户,源和目标主机。

  1. 指定被排除在处理相关规则之外的源用户

  2. 指定被排除在处理相关规则之外的源主机

  3. 指定被排除在处理相关规则之外的目的主机

注意:

  • 指定已经添加到EventLog Analyzer服务器的主机
  • 点击选择主机从服务器中选择主机
  • 指定多个用户/主机名(由逗号分隔)

源主机意味着事件原始的机器

目的主机意味着这台机器的起源事件应该发生
    1. 点击应用配置指定的规则过滤器

     

规则通知

EventLog Analyzer的主动实时警报通知帮助你减轻安全威胁。EventLog Analyzer的实时关联引擎为您提供了两个警报通知机制

  • 通过电子邮件通知

  • 通过短信发出通知

除了这些警报机制,EventLog Analyzer还提供了自动警报补救方法:触发纠正警报条件脚本/程序(由用户指定)

注意:每个规则都可以有单独的警报通知机制。您还可以为一个特定的规则或一组规则配置警报机制:

  • 选择你需要配置警报机制的规则
  • 从规则表顶部的通知设置链接中选择适当的通知机制(电子邮件、短信、自动警报修复)

配置电子邮件通知

配置电子邮件通知的设置,点击您需要配置电子邮件警报的相应规则的电子邮件图标。您还可以通过点击规则概览窗口选择相应的规则/规则组的通知设置链接,选择电子邮件来配置电子邮件设置。

  1. 指定警报发送的电子邮件id。如果你想输入多个电子邮件id,电子邮件id用逗号分开

  2. 指定电子邮件的主题

  3. 点击下拉箭头从预定义列表信息中选择信息,以电子邮件形式发送警报

  4. 点击应用为选定的规则设置电子邮件警报通知

配置短信通知

配置短信通知设置,点击您需要配置短信警报的相应规则的SMS 图标。您还可以通过点击规则概览窗口选择相应的规则/规则组的通知设置链接,选择SMS来配置SMS设置。

  1. 指定短信发送至的号码

  2. 点击下拉箭头从预定义列表信息中选择信息,以信息的形式发送警报

  3. 点击应用为选定的规则设置SMS警报通知

配置自动警报补救

配置自动警报修复脚本,点击需要纠正自动警报相应规则的自动警报补救图标。您还可以通过点击规则概览窗口选择相应的规则/规则组的通知设置链接,选择运行程序选项来配置自动警报补救设置。

  1. 使用选择文件按钮浏览和加载程序/脚本,可以纠正警报条件

  2. 点击下拉箭头选择需要被传递的参数

  3. 点击应用选择规则设置自动提醒补救机制

注意:特定规则或一组规则的警告通知可以启用/禁用:

  • 选择必须启用/禁用警告通知的规则
  • 通知设置 链接将会出现在规则表的顶部
  • 按您的需求点击启用/禁用链接

删除规则通知

删除特定的规则或一组规则的通知:

  1. 选择要删除的规则

  2. 通知设置链接将出现在规则表的顶部。选择删除链接删除对应的规则的通知

 
Copyright © 2022, ZOHO Corp。版权所有。
ManageEngine