• SITO
  • Home Supporto
  • FAQ
  • knowledge base
    • Generico
    • SECURITY APPLIANCE
    • STORAGE APPLIANCE
    • LOG MANAGER
    • VOIP APPLIANCE
    • Lista articoli
  • SITO
  • Home Supporto
  • FAQ
  • knowledge base
    • Generico
    • SECURITY APPLIANCE
    • STORAGE APPLIANCE
    • LOG MANAGER
    • VOIP APPLIANCE
    • Lista articoli
home/Knowledge Base/Log Management/Creare una regola di Cyber Intelligence
Ricerche frequenti:Firewall, Log Manager, File Server

Creare una regola di Cyber Intelligence

201 views 0 13 Dicembre 2018 Updated on 27 June 2023 support

Le appliance Log Manager permettono la creazione di regole di Cyber Intelligence nonchè di alert personalizzati su eventi che possono essere importanti per la strategia aziendale.

Un prerequisito necessario è che il dispositivo da monitorare sia replicato sul logmanager o tramite configurazione syslog o tramite l’installazione del client avanzato Endpoint Client .

Per creare una regola si deve prima di tutto procedere con l’individuazione del log correlato all’evento che si intende monitorare.

Se si vuole monitorare ad esempio una login fallita su un particolare device e possibile effettuare una login errata sul dispositivo (anche syslog) ed individuare il log replicato sul logmanager dal menù Query effettuando la ricerca per il device.

Prendendo ad esempio questo log relativo all’autenticazione NTLM:

Per sapere quali assets hanno abilitato questo meccanismo di autenticazione vulnerabile è possibile creare un alert che compia un’azione ogni volta che un PC con questa autenticazione si avvia.

Spostarsi sul menù Gestione -> Cyber Intelligence e cliccare su Nuovo.

A questo punto inserire una etichetta e indicare eventuali restrizioni orarie sulla validità della regola.

Cliccare su “selezionare una condizione” e successivamente su “Aggiungi una nuova condizione”.

Indicare una descrizione della condizione, selezionare il campo e se contiene, è uguale o non deve contenere un determinato parametro.

Nell’esempio del log selezionato sono state create due condizioni:

  • il livello è uguale ad “avvertimento”
  • il programma è uguale a “LsaSrv”

Andranno create N condizioni e al verificarsi di tutte le condizioni scaturirà l’azione.

L’azione si configura cliccando sul form “seleziona un’azione” e successivamente su “aggiungi una nuova azione”.

Indicare una descrizione e la tipologia di azione. In base alla tipologia scelta verranno proposti i parametri da compilare:

  • mail: invia una mail. Indicare il mittente, il destinatario, l’oggetto e il corpo della mail . NB per l’invio delle mail è necessario settare un server di posta in uscita in Rete -> Smarthost.
  • Notifica push:  invio di una notifica push al cellurare configurato in “gestione dispositivo” con rimando al download dell’app.
  • Journal : scrittura dell’evento sul Journal con livello debug o importante

A questo punto è possibile settare anche una frequenza con cui si attiverà l’azione, ad esempio una frequenza di 10 volte in 5 minuti può essere utile se si tratta di un monitor sulle login fallite oppure 200 eventi in 1 minuto se si tratta di un monitor su cancellazione /modifica di file. Lasciando 1 evento in 1 minuto alla prima corrispondenza verrà attivata l’azione.

Cliccare su Salva per terminare la configurazione della regola.

Tags:log managersyslog

È stato di aiuto?

Si  No
Articoli Collegati
  • Performance Monitor
  • Software Patch Monitor
  • Aggiornamento dell’inventario HW & SW
  • Eventi di accesso – visualizzazione nome macchina

Didn't find your answer? Contact Us

Log Management
  • Creare una regola di Cyber Intelligence
  • Performance Monitor
  • Software Patch Monitor
  • Aggiornamento dell’inventario HW & SW
  • Eventi di accesso – visualizzazione nome macchina
  • Template di ricerca
Mostra Tutti 13  
Categorie KB
  • Generico
  • Log Management
  • Security Appliance
  • Storage Appliance
  • VoIP Appliance

  Log Manager endpoint client

Esportazione dati programmata tramite backup  

Post Recenti
  • Accedere alle risorse aziendali con 2FA
  • Consultare o esportare log openvpn per PC
  • configurare smtp di Google per invio email
  • Appliance virtuali Gigasys Preconfigurate
  • Configurare un client WireGuard
Supporto
  • FAQ
  • KNOWLEDGE BASE
  • MANUALI
  • ASSISTENZA REMOTA
Azienda
  • AZIENDA
  • CONTATTI
  • MAILING LIST
  • INFORMATIVA SULLA PRIVACY
Risorse
  • SITO WEB
  • PORTALE RIVENDITORI
  • CARE PACK
  • PREFERENZE COOKIE
  • © 2019 GIGASYS - P.IVA IT04592760963

Ricerche frequenti:Firewall, Log Manager, File Server