Tableau 47. Paramètres de la page Anomaly Detection Rule Response (suite)
Paramètre
Ensure that the dispatched event is
part of an offense
Email
Enter email address to notify
Enter email address to notify
Notify
Send to Local SysLog
Add to Reference Set
Description
En raison de cette règle, l'événement est transmis au composant Magistrate.
Si une violation existe, cet événement est ajouté. Si aucune violation n'a été
créée sur l'onglet Offenses, une nouvelle violation est créée.
Les options suivantes s'affichent :
Index offense based on
Indique que la nouvelle violation est basée sur le nom de
l'événement. Ce paramètre est activé par défaut.
Include detected events by Event Name from this point forward, for
second(s), in the offense
Cochez cette case puis entrez le nombre de secondes pendant
lesquelles vous souhaitez inclure les événements ou flux détectés
de la source dans l'onglet Offenses.
Cochez cette case pour afficher les options de courrier électronique.
Entrez l'adresse électronique pour envoyer une notification si cette règle en
génère une. Utilisez des virgules pour séparer plusieurs adresses
électroniques.
Entrez l'adresse électronique pour envoyer une notification si cette règle en
génère une. Utilisez des virgules pour séparer plusieurs adresses
électroniques.
Cochez cette case si vous souhaitez que les événements générés grâce à cette
règle s'affichent dans l'élément System Notifications de l'onglet Dashboard.
Si vous activez les notifications, configurez le paramètre Response Limiter.
Cochez cette case si vous souhaitez enregistrer localement l'événement ou le
flux. Par défaut, la case est décochée.
Remarque : Seuls les événements normalisés peuvent être connectés
localement sur un dispositif QRadar. Si vous souhaitez envoyer les données
d'événement brutes, utilisez l'option Send to Forwarding Destinations pour
envoyer les données à un hôte syslog distant.
Cochez cette option si vous voulez que les événements générés grâce à cette
règle ajoutent des données à un ensemble de référence.
Pour ajouter les données à un ensemble de références :
1. Dans la première zone de liste, sélectionnez les données que vous
souhaitez ajouter. Les options incluent toutes les données normalisées ou
personnalisées.
2. A partir de la zone de liste, sélectionnez l'ensemble de référence que
vous voulez ajouter aux données spécifiées.
Les réponses à la règle Add to Reference Set offrent les fonctions
suivantes :
Refresh
Cliquez sur Refresh pour actualiser la première zone de liste et
s'assurer que la liste est à jour.
Configure Reference Sets
Cliquez sur Configure Reference Sets pour configurer l'ensemble
de références. Cette option n'est disponible que lorsque vous
disposez des droits d'administration.
Chapitre 9. Gestion des règles
169