6.1 Test de l'installation de Rapid Deployment

La procédure suivante décrit les étapes à suivre pour tester le système Sentinel Rapid Deployment et les résultats attendus. Il se peut que vous n'obteniez pas exactement les mêmes événements, mais vos résultats doivent être similaires à ceux ci-dessous.

Au niveau de base, ces tests vous permettent de confirmer ce qui suit :

Si l'un de ces tests échoue, consultez le journal d'installation et les autres fichiers journaux et contactez le Support technique de Novell, si nécessaire.

Pour tester l'installation :

  1. Loguez-vous à l'interface Web de Sentinel Rapid Deployment.

    Pour plus d'informations, reportez-vous à la section Accès à l'interface Web de Novell Sentinel du Guide de l'utilisateur de Sentinel Rapid Deployment.

  2. Sélectionnez la page Rechercher, puis recherchez un événement interne. Un ou plusieurs événements doivent être renvoyés.

    Par exemple, pour rechercher des événements internes avec un niveau de gravité compris entre 3 et 5, sélectionnez Inclure les événements système, puis saisissez sev:[3 TO 5] dans le champ Rechercher.

    Pour plus d'informations, reportez-vous à la section Exécution d'une recherche d'événements du Guide de l'utilisateur de Sentinel Rapid Deployment.

    Par défaut, la fonctionnalité de recherche n'est pas activée dans SP2. Cependant, si vous souhaitez activer cette fonctionnalité, reportez-vous à la section Activation de l'option de recherche dans l'interface utilisateur Web du Guide de l'utilisateur de Sentinel Rapid Deployment.

  3. Sélectionnez la page Rapports, spécifiez les paramètres, puis exécutez un rapport.

    Par exemple, cliquez sur le bouton Exécuter en regard de Configuration d'événements Sentinel Core, spécifiez les paramètres souhaités, puis cliquez sur Exécuter.

    Pour plus d'informations, reportez-vous à la section Exécution de rapports du Guide de l'utilisateur de Sentinel Rapid Deployment.

  4. Dans la page Applications, cliquez sur Démarrer Sentinel Control Center.

  5. Loguez-vous au système en tant qu'administrateur Sentinel spécifié durant l'installation (par défaut, admin).

    Sentinel Control Center s'ouvre et affiche l'onglet Active Views qui présente les événements filtrés par les filtres publics Internal_Events et High_Severity.

  6. Accédez au menu Gestion de source d'événements, puis sélectionnez Vue en direct.

  7. Dans la vue graphique, cliquez avec le bouton droit sur Source d'événements 5 eps, puis sélectionnez Démarrer.

  8. Fermez la fenêtre Gestion de source d'événements (vue en direct).

  9. Cliquez sur l'onglet Active Views.

    Vous pouvez afficher la fenêtre active portant le titre PUBLIC: High_Severity, Severity. Vous devrez peut-être attendre un certain temps avant que le collecteur démarre et que les données apparaissent dans la fenêtre.

  10. Cliquez sur le bouton Requête d'événement dans la barre d'outils. La fenêtre Requête d'événements historiques s'affiche.

  11. Dans cette fenêtre, cliquez sur la flèche vers le bas Filtre pour sélectionner le filtre. Sélectionnez le filtre Public: All.

  12. Choisissez une période qui couvre la période d'activité du collecteur. Sélectionnez la plage de dates à l'aide des listes déroulantes De et À.

  13. Sélectionnez une taille de lot.

  14. Cliquez sur l'icône de loupe pour exécuter la requête.

  15. Maintenez la touche Ctrl ou Maj enfoncée et sélectionnez plusieurs événements dans la fenêtre Requête d'événements historiques.

  16. Cliquez avec le bouton droit dans la fenêtre, puis sélectionnez Créer un incident pour afficher la fenêtre Nouvel incident.

  17. Nommez l'incident TestIncident1, puis cliquez sur Créer. Une notification de réussite s'affiche. Cliquez sur Enregistrer.

  18. Cliquez sur l'onglet Incidents pour afficher l'incident que vous venez de créer dans le gestionnaire de vues d'incidents.

  19. Double-cliquez sur l'incident pour afficher les événements.

  20. Fermez la fenêtre Incidents.

  21. Cliquez sur l'onglet Analyse.

  22. Cliquez sur Requêtes hors ligne dans le menu Analyse ou depuis le navigateur.

  23. Dans la fenêtre Requêtes hors ligne, cliquez sur Ajouter.

  24. Spécifiez un nom, sélectionnez un filtre, sélectionnez une période et cliquez sur OK.

  25. Cliquez sur Parcourir pour afficher la liste des événements et les détails associés dans la fenêtre de navigateur actif.

    Vous pouvez afficher les détails suivants : collecteur, adresse IP cible, gravité, port de service cible et ressource.

  26. Sélectionnez l'onglet Corrélation. Le gestionnaire de règles de corrélation s'affiche.

  27. Cliquez sur Ajouter. L'Assistant de règles de corrélation s'affiche.

  28. Cliquez sur Simple. La fenêtre Règle simple s'affiche.

  29. Utilisez les menus déroulants pour définir le critère de gravité sur 4, puis cliquez sur Suivant. La fenêtre Mettre à jour les critères s'affiche.

  30. Sélectionnez Ne pas effectuer d'opération à chaque déclenchement de cette règle pendant et définissez la période sur 1 minute à l'aide du menu déroulant, puis cliquez sur Suivant. La fenêtre Description générale s'affiche.

  31. Nommez la règle TestRule1, entrez une description et cliquez sur Suivant.

  32. Sélectionnez Non, ne pas créer d'autre règle et cliquez sur Suivant.

  33. Créez une opération à associer à la règle que vous avez créée.

    1. Effectuez l'une des opérations suivantes :

      • Sélectionnez Outils > Gestionnaire d'opérations > Ajouter.

      • Dans la fenêtre Déployer la règle, cliquez sur Ajouter une opération. Pour plus d'informations, reportez-vous à l'Étape 34 à l'Étape 35.

      La fenêtre Configurer une opération s'affiche.

    2. Dans la fenêtre Configurer une opération, spécifiez les éléments suivants :

      • Spécifiez le nom de l'opération (CorrelatedEvent, par exemple).

      • Sélectionnez Configurer un événement corrélé dans la liste déroulante Opération.

      • Définissez les options d'événements.

      • Définissez le niveau de gravité sur 5.

      • Spécifiez le nom de l'événement (CorrelatedEvent, par exemple).

      • Spécifiez un message, le cas échéant.

      Pour plus d'informations sur la création d'opérations, reportez-vous à la section Création d'opérations du Guide de l'utilisateur de Sentinel Rapid Deployment.

    3. Cliquez sur Enregistrer.

  34. Ouvrez la fenêtre Gestionnaire de règle de corrélation.

  35. Sélectionnez une règle, puis cliquez sur le lien Déployer les règles. La fenêtre Déployer la règle s'affiche.

  36. Dans la fenêtre Déployer la règle, sélectionnez le moteur à utiliser pour déployer la règle.

  37. Sélectionnez l'opération que vous avez créée dans Étape 33 pour l'associer à la règle, puis cliquez sur OK.

  38. Sélectionnez le gestionnaire de moteurs de corrélation.

    Sous le moteur de corrélation, vous pouvez voir que la règle est déployée et activée.

  39. Déclenchez un événement de sécurité 4, comme une authentification échouée, pour activer la règle de corrélation déployée.

    Pour générer un tel événement, ouvrez par exemple une fenêtre de login de Sentinel Control Center, puis spécifiez des références utilisateur erronées.

  40. Cliquez sur l'onglet Active Views, puis vérifiez si l'événement corrélé a bien été généré.

  41. Fermez Sentinel Control Center.

  42. Sur la page Applications, cliquez sur Démarrer le gestionnaire de données Sentinel.

  43. Loguez-vous au gestionnaire de données Sentinel en utilisant les références de l'administrateur de base de données spécifiées lors de l'installation (valeur par défaut : dbauser).

  44. Cliquez sur chaque onglet pour vous assurer que vous pouvez y accéder.

  45. Fermez le gestionnaire de données Sentinel.

Si vous avez suivi toutes ces étapes sans erreur, vous avez réussi la vérification de base de l'installation du système Sentinel.