Alertes : Utiliser les règles d'évaluation

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Lorsque les règles utilisent une trop grande quantité de mémoire, votre service ESA peut ralentir ou se bloquer. Pour vous assurer que les règles n'utilisent pas une quantité excessive de mémoire, vous pouvez activer les règles d'évaluation pour tout type de règle. Lorsque vous créez une règle d’évaluation, vous définissez un seuil global du pourcentage de mémoire que les règles peuvent utiliser. Si ce seuil de mémoire configuré est dépassé, toutes les règles d’évaluation sont désactivées.

Le service Event Stream Analysis (ESA) de Security Analytics peut traiter de gros volumes de données d'événement disparates à partir des Concentrators. Toutefois, lors de l'utilisation d'Event Stream Analysis, il est possible de créer des règles qui utilisent une quantité excessive de mémoire. Cela peut ralentir votre service ESA ou même provoquer son arrêt inattendu. Pour éviter que cela ne se produise pas, vous pouvez configurer votre règle en tant que règle d'évaluation. Lorsque vous configurez une règle d'évaluation, vous définissez également le seuil global du pourcentage de mémoire que les règles peuvent utiliser. En cas de dépassement de ce seuil de mémoire configuré, toutes les règles d'évaluation sont désactivées automatiquement.

Pour des suggestions sur la création de règles plus efficaces, reportez-vous à la rubrique « Bonnes pratiques pour l'écriture de règles » dans Bonnes pratiques

 

En guide de bonne pratique, lorsque vous ajoutez une nouvelle règle ou modifiez une règle existante, sélectionnez l'option Règle d'évaluation qui vous permet de :

  • Déployer la règle avec une plus grande sécurité.
  • Afficher éventuellement un snapshot de l'utilisation de la mémoire pour comprendre si la règle crée des problèmes de mémoire.
  • Déterminer si vous devez modifier les critères de la règle pour améliorer les performances.

Remarque : Exécutez une règle en tant que règle d'évaluation suffisamment longtemps pour évaluer les performances lorsque le trafic réseau est normal et élevé. 

 

You are here
Table of Contents > Utiliser les règles d'évaluation

Attachments

    Outcomes