Alerting: Solucionar problemas de detección de amenazas automatizadas

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

La detección de amenazas automatizadas es un motor de analítica que examina los datos de HTTP. También facilita el uso de otros componentes, como un servicio WhoIs y Context Hub, los cuales pueden agregar complejidad a la instalación. En este tema se proporcionan sugerencias para ayudarlo a buscar problemas si su implementación de detección de amenazas automatizadas no proporciona los resultados esperados.

Cuando se solucionan problemas de detección de amenazas automatizadas, es importante considerar el modo utilizado. Si se utiliza el modo mixto (la detección de amenazas automatizadas está habilitada en la misma máquina que las reglas de ESA o Context Hub), deberá tener en cuenta el uso de la memoria y las I/O de estas aplicaciones durante la solución de problemas. Por lo general, cuando se configura la instalación de modo mixto, la detección de amenazas automatizadas está habilitada para utilizar aproximadamente un cincuenta por ciento de la memoria disponible, mientras que el uso de la memoria de reglas de ESA es ilimitado. Por lo tanto, es probable que desee comprobar las reglas de ESA como primer paso para solucionar el problema en modo mixto. 

Si está utilizando el modo mixto, también debe considerar si el servicio ESA está configurado para pool de memoria u orden por hora de eventos. El pool de memoria puede afectar el rendimiento, mientras que el orden por hora de eventos puede afectar el uso de memoria y el rendimiento. 

Posibles problemas

                                 
ProblemaCausas posiblesSoluciones
Veo demasiadas alertas (falsos positivos).Varias

Una causa posible es que la búsqueda de Whois falla o no está configurada. La búsqueda de Whois es útil para determinar si una URL es válida y, si la conexión falla o no está configurada correctamente, puede generar falsos positivos.

Hay una serie de contadores para el servicio de búsqueda de Whois que puede ver. 

  1. En Administration > Servicios, seleccione el servicio ESA y elija ic-actns.png > Ver > Explorar. 
  2. En el explorador, haga clic en Servicio > Whois > whoisClient.

Los siguientes son algunos contadores útiles para comprobar:

  • FailedLookupCount: Cada vez que falla una solicitud de datos de Whois del servicio Whois de RSA, se incrementa este conteo.
  • LookupEnqueueFailureCount: Cuenta los intentos fallidos por agregar una entrada en la caché.  Estas fallas se deben a errores internos de la caché.
  • Response401Count: Cuenta las solicitudes al servidor Whois de RSA que fallaron con un código de estado 401.  Las solicitudes con tokens de autenticación vencidos se incluyen en este conteo. Este conteo se incluye en FailedLookupCount.
  Puede ser necesario ingresar direcciones URL en la lista blanca. En ocasiones, el comportamiento legítimo de una URL activa una alerta. Una manera de evitarlo es agregar la URL a la lista blanca. Para obtener instrucciones sobre cómo hacer esto, consulte “Reducir los falsos positivos” en Trabajar con resultados de detección de amenazas automatizadas.
No se ven las alertas.ESA requiere un período de “preparación” de 24 horas cuando se habilita la detección de amenazas automatizadas. Cuando habilita la detección de amenazas automatizadas, hay un período de “preparación” durante el cual no se ven alertas. El período predeterminado es 24 horas. Después de este período de aprendizaje de 24 horas, se pueden ver las alertas. Si se reinicia el servicio de ESA, este período de aprendizaje vuelve a comenzar, por lo cual se restablece el período de espera de 24 horas.
Veo problemas de rendimiento (más uso de recursos o una caída de rendimiento).VariasSi tiene problemas de rendimiento en un servicio de ESA que también ejecuta reglas de ESA, siga los pasos de solución de problemas para las reglas. Las reglas de ESA son ilimitadas siempre que la detección de amenazas automatizadas esté configurada para usar una cantidad específica de recursos (por lo general, aproximadamente un 50 %). Para conocer estos pasos de solución de problemas, consulte Solucionar problemas de ESA.
Next Topic:Referencias
You are here
Table of Contents > Usar detección de amenazas automatizadas > Solucionar problemas de detección de amenazas automatizadas

Attachments

    Outcomes