Maintenance sys : Stratégies prédéfinies Security Analytics

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Stratégies prédéfinies Security Analytics

Le tableau suivant répertorie les stratégies prédéfinies Security Analytics avec les règles définies pour chaque stratégie.

Cet onglet vous permet d'effectuer les tâches suivantes sur ces stratégies :

  • Modifier les attributions de services/groupes.
  • Les désactiver/activer.

Vous ne pouvez effectuer aucune des tâches suivantes sur ces stratégies :

  • Les supprimer.
  • Modifier les noms des stratégies.

Remarque : Des informations supplémentaires sur les politiques prêtes à l'emploi figurent dans l'interface utilisateur sous
Intégrité – Stratégies. 

                                                                                                                                                                                                                                                                                                                                                                                         
Nom de la stratégieNom de la règleAlarme déclenchée
 Échec de la communication entre l'hôte Security Analytics maître et un hôte distant.L'hôte est arrêté, le réseau est arrêté, le Message Broker est arrêté, ou bien des certificats de sécurité ont été non valides ou manquants pendant 10 minutes ou plus.
Stratégie de surveillance de l'hôte SA Utilisation critique sur le système de fichiers du Broker de messages RabbitmqPour var/lib/rabbitmq, l'utilisation totale du disque du système de fichiers monté dépasse 75 %.
Le système de fichiers est plein.L'utilisation totale du disque du système de fichiers monté atteint 100 %.
Utilisation élevée du système de fichiersL'utilisation totale du disque du système de fichiers monté dépasse 95 %.
Utilisation élevée de la permutation systèmeL'utilisation de la permutation passe sous la barre des 5 % pendant 5 minutes ou plus.
Utilisation élevée sur le système de fichiers du Broker de messages RabbitmqL'utilisation totale du disque du système de fichiers pour var/lib/rabbitmq dépasse 60 %.
L'hôte n'est pas accessibleL'hôte est en panne.
État Liaisons d'échange de processeur d'événements LogCollectorProblème avec les files d'attente de Broker de message de collecte de logs pendant 10 minutes ou plus.
File d'attente de processeur d'événements LogCollector sans liaisonProblème avec les files d'attente de Broker de message de collecte de logs pendant 10 minutes ou plus.
File d'attente de processeur d'événements LogCollector sans utilisateurProblème avec les files d'attente de Broker de message de collecte de logs pendant 10 minutes ou plus.
Power Supply FailureL'hôte n'est pas alimenté
Le disque logique RAID est dégradéPour le disque logique RAID, l'état du disque logique est Dégradé ou Partiellement dégradé.
Défaillance du disque logique RAIDPour le disque logique Raid, l'état du lecteur est Hors ligne, En échec ou Inconnu.
Reconstruction du disque logique RAIDPour le disque logique RAID, le disque logique est en Reconstruction.
Défaillance du disque physique RAIDPour le disque physique RAID, l'état du disque physique n'est pas En ligne, Étendu en ligne ou Disque de secours.
Défaillance prévue du disque physique RAIDPour le disque physique RAID, le nombre de défaillances prévues pour le disque physique est supérieur à 1.
Reconstruction du disque physique RAIDPour le disque physique Raid, physique
L'état du disque est Reconstruction.
Disque physique RAID non configuréPour le disque physique Raid, physique
L'état du disque contient Unconfigured(good).
Défaillance de la carte SDL'état de la carte SD n'est pas OK.
SA Archiver
Règle de surveillance
Arrêt de l'agrégation ArchiverArchiver n'est pas à l'état de démarrage.
La ou les bases de données Archiver ne sont pas ouvertesLa base de données n'est pas à l'état d'ouverture.
Archiver ne consomme pas de données du serviceLes périphériques ne sont pas à l'état d'utilisation.
Le service Archiver est en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Arrêt du service ArchiverLe serveur n'est pas à l'état de démarrage.
Stratégie de surveillance SA Broker Broker >5 requêtes en attenteRequêtes en attente supérieures ou égales à 5 pendant au moins 10 minutes.
Arrêt de l'agrégation BrokerLe Broker n'est pas à l'état de démarrage.
Broker ne consomme pas de données du serviceLes périphériques ne sont pas à l'état d'utilisation.
Le service Broker est en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Arrêt du service BrokerLe serveur n'est pas à l'état de démarrage.
Débit de session Broker équivalent à zéroLe taux de session (actuel) est de 0 pendant au moins 2 minutes.
Security Analytics
Stratégie de surveillance Concentrator

 
 
 
 
Concentrator >5 requêtes en attenteRequêtes en attente supérieures ou égales à 5 pendant au moins 10 minutes.
Valeur Behind d'agrégation Concentrator >100 000 sessionsRequêtes en attente supérieures ou égales à 100 000 pendant au moins 1 minute ou plus.
Valeur Behind d'agrégation Concentrator >1 000 000 sessionsRequêtes en attente supérieures ou égales à 1 000 000 pendant au moins 1 minute.
Valeur Behind d'agrégation Concentrator >50 000 000 sessionsRequêtes en attente supérieures ou égales à 50 000 000 pendant au moins 1 minute.
Arrêt de l'agrégation ConcentratorLe Broker n'est pas à l'état de démarrage.
La ou les bases de données Concentrator ne sont pas ouvertesLa base de données n'est pas à l'état d'ouverture.
Taux méta du Concentrator équivalent à zéroTaux méta du Concentrator (actuel) est de 0 pendant au moins 2 minutes.
Concentrator ne consomme pas de données du serviceLes périphériques ne sont pas à l'état d'utilisation.
Le service Concentrator est en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Arrêt du service ConcentratorLe serveur n'est pas à l'état de démarrage.
Security Analytics Decoder
Règle de surveillance
La capture de Decoder n'a pas commencéLa capture n'est pas à l'état de démarrage.
Taux de capture du Decoder équivalent à zéroLe taux de capture (actuel) est de 0 pendant au moins 2 minutes.
Base de données Decoder non ouverteLa base de données n'est pas à l'état d'ouverture.
Interruption Decoder >1 % de paquetsLe pourcentage de paquets capturés interrompus (actuel) est supérieur ou égal à 1 %.
Interruption Decoder >10 % de paquetsLe pourcentage de paquets capturés interrompus (actuel) est supérieur ou égal à 10 %.
Interruption Decoder >5 % de paquetsLe pourcentage de paquets capturés interrompus (actuel) est supérieur ou égal à 5 %.
Pool de capture de paquets Decoder épuiséLa file d'attente des captures de paquets est égale à 0 pendant au moins 2 minutes.
Le service Decoder est en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Service Decoder arrêtéLe serveur n'est pas à l'état de démarrage.
Security Analytics Event Stream Analysis
Règle de surveillance

 
 
 
 
Utilisation de la mémoire totale par ESA > 85 %Le pourcentage d'utilisation de la mémoire totale par ESA est supérieur ou égal à 85 %.
Utilisation de la mémoire totale par ESA > 95 %Le pourcentage d'utilisation de la mémoire totale par ESA est supérieur ou égal à 95 %.
Service ESA arrêtéLe serveur n'est pas à l'état de démarrage.
Règles d'évaluation ESA désactivéesL'état des règles d'évaluation n'est pas activé.
Security Analytics IPDB
Extractor
Surveillance
Policy
Le service IPDB Extractor est en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Service IPDB Extractor arrêtéLe serveur n'est pas à l'état de démarrage.
Security Analytics Incident Management
Surveillance
Policy
Service Incident Management arrêtéLe serveur n'est pas à l'état de démarrage.
Security Analytics Log Collector
Surveillance
Policy
Arrêt du service Log CollectorLe serveur n'est pas à l'état de démarrage.
File d'attente d'événements Log Decoder > Saturée à 50 %Le nombre d'événements actuellement dans la file d'attente utilise 50 % ou plus de la file d'attente.
File d'attente d'événements Log Decoder > Saturée à 80 %Le nombre d'événements actuellement dans la file d'attente utilise 80 % ou plus de la file d'attente.
Service Log Collector en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Security Analytics Log Decoder
Surveillance
Policy
Interruption Decoder>10 % de paquetsLe pourcentage de paquets capturés supprimés (actuel) est supérieur ou égal à 10 %.
La capture de Logs n'a pas commencéLa capture n'est pas à l'état de démarrage.
Taux de capture du Log Decoder équivalent à zéroLe taux de capture (actuel) est de 0 pendant au moins 2 minutes.
Base de données Log Decoder non ouverteLa base de données n'est pas à l'état d'ouverture.
Suppression Log Decoder >1 % des logsLe pourcentage de paquets capturés interrompus (actuel) est supérieur ou égal à 1 %.
Suppression Log Decoder >5 % des logsLe pourcentage de paquets capturés interrompus (actuel) est supérieur ou égal à 5 %.
Pool de capture de paquets Log Decoder épuiséLa file d'attente des captures de paquets est égale à 0 pendant au moins 2 minutes.
Arrêt du service Log DecoderLe serveur n'est pas à l'état de démarrage.
Service Log Decoder en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Security Analytics Malware Analysis
Surveillance
Policy
Arrêt du service Malware AnalysisLe serveur n'est pas à l'état de démarrage.
Surveillance de Security Analytics Reporting Engine
Policy
Utilisation critique des alertes Reporting EngineUtilisation des alertes supérieure ou égale à 10 pendant au moins 5 minutes.
Disque disponible Reporting Engine <10 %L'espace disque disponible est inférieur à 10 %. 
Disque disponible Reporting Engine <10 %L'espace disque disponible est inférieur ou égal à 5 %. 
Utilisation critique des graphiques Reporting EngineUtilisation des graphiques supérieure ou égale à 10 pendant au moins 5 minutes.
Utilisation critique des règles Reporting EngineUtilisation des règles supérieure ou égale à 10 pendant au moins 5 minutes.
Utilisation critique du pool de tâches planifiées Reporting EngineUtilisation du pool de tâches planifiées supérieure ou égale à 10 pendant au moins 15 minutes.
Arrêt du service Reporting EngineLe serveur n'est pas à l'état de démarrage.
Utilisation critique des tâches partagées Reporting EngineUtilisation du pool de tâches partagées supérieure ou égale à 10 pendant au moins 5 minutes.
Security Analytics Warehouse Connector
Surveillance
Policy
Service Warehouse Connector en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Service Warehouse Connector arrêtéLe serveur n'est pas à l'état de démarrage.
Flux Behind Warehouse ConnectorLe flux Behind est supérieur ou égal à 2 000 000.
Utilisation du disque de flux Warehouse Connector > 75 %L'utilisation de disque de flux (charge de destination en attente) est supérieure ou égale à 75.
Flux Warehouse Connector en mauvais étatL'état des flux n'équivaut pas à la valeur Consommation ou En ligne pendant 10 minutes ou plus.
Le stream Warehouse Connector a rejeté de manière permanente > 300 fichiersLe nombre de fichiers dans les fichiers rejetés de manière permanente est supérieur ou égal à 300.
Le flux Warehouse Connector a rejeté le dossier de manière permanente > 75 % completL'utilisation de dossier rejeté est supérieure ou égale à 75 %.
Stratégie de surveillance de Security Analytics Workbench Le service Workbench est en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Service Workbench arrêtéLe serveur n'est pas à l'état de démarrage.
You are here
Table of Contents > Références > Intégrité > Vue Stratégies > Stratégies prédéfinies Security Analytics

Attachments

    Outcomes