Alertes : Dépannage de la détection automatisée des menaces

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

La détection automatisée des menaces est un moteur d'analyse qui examine vos données HTTP. Il permet également d'utiliser d'autres composants, comme les services WhoIs et Context Hub, qui peuvent ajouter de la complexité à votre installation. Cette rubrique fournit des suggestions vous permettant de trouver des solutions si le déploiement de votre détection automatisée des menaces ne fournit pas les résultats escomptés.

Lorsque vous dépannez le système de détection automatisée des menaces, il est important de prendre en compte le mode utilisé. Si le mode mixte est utilisé (Détection automatisée des menaces activée sur la même machine que les règles ESA ou le service Context Hub), vous devrez tenir compte de l'utilisation de la mémoire et des E/S de ces applications en cas de dépannage. En règle générale, lorsque l'installation en mode mixte est configurée, la détection automatisée des menaces est activée pour utiliser environ 50 % de la mémoire disponible, alors que l'utilisation de la mémoire avec les règles ESA est illimitée. Par conséquent, vous pouvez commencer par vérifier vos règles ESA lors de la résolution en mode mixte. 

Si vous utilisez le mode mixte, vous devriez également déterminer si le service ESA est configuré pour le pool de mémoire ou la chronologie des événements. Le pool de mémoire peut avoir un impact sur les performances, alors que la chronologie des événements peut influer sur les performances et l'utilisation de la mémoire. 

Problèmes possibles

                                 
ProblèmeCauses possiblesSolutions
De nombreuses alertes s'affichent à l'écran (fausses alertes).plusieurs pages

Une cause possible est que la recherche Whois échoue ou est mal configurée. La recherche Whois est utile pour déterminer si une URL est valide, et si la connexion échoue ou n'est pas correctement configurée, ce qui entraîne de fausses alertes.

Vous pouvez afficher de nombreux compteurs pour le service de recherche Whois. 

  1. Sous Administration > Services,  sélectionnez votre service ESA, puis ic-actns.png > Vue > Explorer. 
  2. Dans l'Explorateur, cliquez sur Service > Whois > whoisClient.

Voici quelques compteurs utiles à contrôler :

  • FailedLookupCount : lorsqu'une demande de données RSA Whois Service for Whois échoue, ce nombre est incrémenté.
  • LookupEnqueueFailureCount : Compte toutes les tentatives ayant échoué pour ajouter une entrée au cache.  Ces échecs sont dus à des erreurs internes à la mémoire cache.
  • Response401Count : Compte les demandes adressées au serveur RSA Whois Server ayant échoué avec le code d'état 401.  Les demandes avec des tokens d'authentification expirés sont inclus dans ce comptage. Ce nombre est inclus dans le compteur FailedLookupCount.
  Vous devrez peut-être créer une liste blanche des URL. Parfois, le comportement légitime d'une URL déclenche une alerte. Une façon d'éviter ce problème est d'ajouter l'URL à la liste blanche. Pour obtenir des instructions sur la procédure, consultez la section « Réduire les faux positifs » dans Utiliser les résultats de la détection automatisée des menaces.
Je ne vois aucune alerte.Le service ESA nécessite une période de « préchauffage » de 24 heures lorsque vous activez la détection automatisée des menaces. Lorsque vous activez la Détection automatisée des menaces, il existe une période de « préchauffage » durant laquelle aucune alerte ne s'affiche à l'écran. Par défaut, cette période est de 24 heures. Passé ce délai, les alertes commencent à s'afficher Si le service ESA redémarre, cette période d'apprentissage se renouvelle également ; de ce fait, la période d'attente de 24 heures est remise à zéro.
Je rencontre des problèmes de performance (utilisation accrue des ressources ou baisse du débit).plusieurs pagesSi vous rencontrez des problèmes de performance sur un service ESA qui exécute également des règles ESA, suivez les étapes de dépannage relatives aux règles. Les règles ESA sont illimitées, alors que la détection automatisée des menaces est configurée pour utiliser une quantité donnée de ressources (environ 50 % généralement). Pour en savoir plus sur ces étapes de dépannage, accédez à la section Dépanner le service ESA.
Next Topic:Références
You are here
Table of Contents > Utiliser la détection automatisée des menaces > Dépannage de la détection automatisée des menaces

Attachments

    Outcomes