8.2 Configurazione delle regole

È possibile configurare le regole di Identity Audit per filtrare gli eventi in base a uno o più campi utilizzabili per le ricerche. Per un elenco dei campi evento di Identity Audit su cui è possibile eseguire delle ricerche vedere la Tabella 4-1. Ogni regola può essere associata a una o più azioni configurate.

8.2.1 Criteri dei filtri

Le regole possono essere basate su qualsiasi campo evento in cui è possibile eseguire delle ricerche. Per un elenco di questi campi, vedere la Tabella 4-1. Gli operatori disponibili dipendono dal tipo di dati del campo evento. Ad esempio match subnet è disponibile per gli indirizzi IP e match regex è disponibile per i campi di testo.

8.2.2 Aggiunta di una regola

Gli amministratori possono aggiungere una regola basata sul filtro e definire uno o più canali a cui inviare gli eventi che soddisfano i criteri della regola.

  1. Eseguire il login a Identity Audit come amministratore.

  2. Fare clic su Rules nell'angolo superiore sinistro della pagina.

  3. Fare clic su Add Rule.

  4. Immettere il nome della regola.

  5. Se verranno create più condizioni, selezionare All per unire le condizioni con un operatore AND. Selezionare Any per unire le condizione con un operatore OR.

  6. Selezionare il campo evento, l'operatore e il valore per il filtro.

  7. Selezionare un'azione che verrà eseguita in ogni evento che soddisfa i criteri del filtro.

    I dettagli dell'azione si basano sulle informazioni di configurazione visualizzate se si fa clic sul collegamento Configurazione.

  8. Configurare ulteriori azioni, come desiderato.

  9. Fare clic su Salva.

8.2.3 Ordinare le regole

Dato che gli eventi vengono valutati in base alle regole fino a trovare una corrispondenza, è consigliabile ordinare le regole di conseguenza. Le regole definite con maggiore restrizione e le regole più importanti devono essere collocate all'inizio dell'elenco. Quando esiste più di una regola, le regole possono essere riordinate mediante il trascinamento.

Per riordinare le regole:

  1. Eseguire il login a Identity Audit come amministratore.

  2. Fare clic su Rules nell'angolo superiore destro della pagina.

  3. Posizionare il puntatore del mouse sull'icona a sinistra della numerazione delle regole per abilitare il trascinamento. Il cursore cambia forma.

  4. Trascinare la regola nella posizione corretta nell'elenco ordinato.

8.2.4 Eliminazione di una regola

Quando si elimina una regola, se nella coda sono presenti eventi associati a una o più azioni, è possibile che lo svuotamento della coda successivo alla disattivazione della regola richieda del tempo.

8.2.5 Attivazione o disattivazione di una regola

A sinistra di ciascuna regola, in una colonna intestata On, è presente una casella di controllo per attivare tale regola. Le nuove regole sono attivate per default. Se si disattiva una regola, gli eventi in entrata non verranno più valutati in base a quella regola. Se nella coda sono presenti eventi associati a una o più azioni, è possibile che lo svuotamento della coda successivo alla disattivazione della regola richieda del tempo.