Configurar ESA para que use el orden por hora de captura

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se indica a los administradores cómo configurar ESA para que use el orden por hora de captura cuando se utilizan dos o más Concentrators como origen. 

De forma predeterminada, ESA utiliza la hora de registro de ESA (la hora en la cual ESA recibe los eventos) para correlacionar los eventos. Sin embargo, ESA también es compatible con el orden de las sesiones en función de la hora de captura (la hora a la cual el evento de registro o el paquete llegaron a los Decoders). Esta función es útil si está correlacionando eventos desde dos o más Concentrators. Cuando tiene dos o más Concentrators como orígenes, el orden por hora garantiza que sus sesiones se correlacionan según la hora de captura. Esto asegura la correlación de las sesiones capturadas a la misma hora y garantiza que las alertas sean coherentes con las expectativas del usuario, incluso cuando se producen demoras en la transmisión. Si cualquiera de los orígenes queda offline o tarda en enviar las sesiones, ESA hace una pausa para asegurarse de que las sesiones con la misma hora de registro de captura se correlacionen.

Por ejemplo, tiene dos orígenes con eventos que ocurren a las 10:00 h. Si se usa el orden por hora de captura, estos eventos se mantienen en el búfer hasta que ESA detecta la adición en el búfer de todos los eventos que ocurren a las 10:00 h. Una vez que llegan todos los eventos, estos se procesan mediante reglas de EPL. Esto garantiza que en una regla estén todos los eventos de diferentes orígenes con la misma hora de registro, con lo cual se obtienen resultados correctos. Si, por ejemplo, un Concentrator queda atrás respecto de otro, ESA hace una pausa antes de aplicar a los eventos las reglas de EPL hasta que recibe todos los eventos con la hora de registro 10:00 h de ambos orígenes. 

Precaución: Aunque aumenta la precisión, esta función afecta el rendimiento. La configuración predeterminada de ESA garantiza la transmisión constante de los datos, pero debido a que el orden por hora de captura utiliza un búfer, el procesamiento de eventos tarda más. Esto se cumple especialmente si ESA debe hacer una pausa durante el tiempo que sea para esperar que el búfer se llene. Puede configurar varios parámetros (consulte a continuación) para manejar esta situación; sin embargo, el rendimiento se puede ver afectado de todos modos. 

De manera predeterminada, esta función está deshabilitada.

Flujo de trabajo del orden por hora de captura

En el siguiente diagrama se muestra el flujo de trabajo del orden por hora de captura cuando está habilitado. 

  1. Los eventos se marcan con la hora de registro a medida que el Decoder los captura.
  2. Después del procesamiento de Concentrator, los eventos se colocan en el búfer y se ordenan. El tamaño del búfer se calcula mediante dos parámetros MaxEPSExpectedPerSource (el volumen máximo de tráfico (EPS) que se espera que reciba ESA por origen) por TimeOrderHoldWindow (la cantidad de tiempo que se permite la llegada de los eventos de todos los orígenes).
  3. A continuación, los eventos ordenados se correlacionan correctamente en reglas de EPL. 

Requisitos previos

Debe haber dos o más Concentrators configurados como un origen de datos en ESA.

Cuando el parámetro StreamEnabled se establece en true, es importante que todas las máquinas que ejecutan servicios Core estén sincronizadas con NTP. 

Procedimientos

En los siguientes procedimientos se indica cómo habilitar y configurar el orden por hora de captura.

Habilitar la colocación en el búfer y el orden por hora de captura

Nota: Después de una actualización o en un ambiente con una gran cantidad de EPS, debe volver a agregar los orígenes de datos para comenzar a apreciar los beneficios. O bien, debe esperar hasta que las sesiones se pongan al día antes de habilitar el orden por hora de captura.

  1. En el menú de Security Analytics, seleccione Administration > Servicios. Seleccione el servicio ESA y elija >Ver >Explorar. 
  2.  Vaya a Flujo de trabajo > Origen nextgenAggregationSource.
  3. Configure el atributo StreamEnabled en true.  StreamEnabled permite que ESA coloque en el búfer los eventos que recibe desde los Concentrators.
  4. Configure el atributo TimeOrdered en true. Esto permite que los eventos en el búfer ser ordenen según la hora de registro desde el Concentrator.

Configurar el orden por hora de captura

Cuando se trabaja con el orden por hora de captura, es necesario configurar varios otros parámetros para garantizar el rendimiento. En la siguiente tabla se enumeran los parámetros y su función. Para la configuración de estos parámetros se requiere conocimiento de la tasa y el volumen de tráfico.

Nota: Si no conoce el volumen de tráfico o la latencia, consulte al representante de servicios profesionales antes de configurar esta función.

                   
MaxEPSExpectedPerSource

Especifique el volumen de tráfico máximo (EPS o eventos por segundo) que se espera que reciba el servicio ESA del origen más activo (por ejemplo, si un origen recibe 20,000 EPS y otro recibe 25,000 EPS, configure el valor en 25,000 EPS).

El establecimiento de esta tasa en un valor demasiado bajo afecta el rendimiento a corto plazo. Sin embargo, ESA aumenta automáticamente el valor de MaxEPSExpectedPerSource según sea necesario para avanzar en el modo de orden por tiempo.

El valor predeterminado es 20,000.

TimeOrderHoldWindow

Especifique en segundos (enteros) la cantidad de tiempo que se permite la llegada de los eventos de todos los orígenes. 

Configure este valor en función de la latencia entre los orígenes.

El valor predeterminado es 2 segundos. La disminución de este valor puede aumentar la probabilidad de pérdida de eventos. El aumento de este valor puede disminuir el rendimiento debido a que se consume más memoria. 

IdleSourceAdvanceAfterSeconds

Especifique el intervalo (en segundos) tras el cual ESA quita de la ecuación a un origen inactivo (no provienen eventos del origen, pero este no está offline) para permitir el avance de un flujo ordenado por hora de captura. El valor predeterminado es 0, lo cual significa que ESA espera indefinidamente la llegada de eventos.

OfflineSourceAdvanceAfterSeconds

Especifique el intervalo (en segundos) tras el cual ESA quita de la ecuación un origen offline para permitir el avance de un flujo ordenado por hora de captura. El valor predeterminado es 0, lo cual significa que ESA espera indefinidamente. Este parámetro no afecta los reintentos de reconexión; aquellos que se realizan en todos los casos.

Consejos para la solución de problemas

Cuando se usa esta función, es posible que se produzca una situación de acumulación de eventos. Para solucionar este problema, puede realizar una de las siguientes opciones.

Deshabilitar el orden por hora de captura

  1. En el menú de Security Analytics, seleccione Administration > Servicios. Seleccione el servicio ESA y elija  > Ver > Explorar. 
  2.  Vaya a Flujo de trabajo > Origen > nextgenAggregationSource.
  3. Configure el atributo StreamEnabled en false. 
  4. Configure el atributo TimeOrdered en false. 

Si deshabilita el orden por hora de captura, perderá los datos acumulados y los eventos dejarán de ordenarse por hora de captura. 

Deshabilitar el rastreo de posición

El rastreo de posición permite que ESA rastree la posición en la cual dejó de procesar eventos en caso de que se detenga o se apague. El rastreo de posición está habilitado de forma predeterminada con el orden por hora de captura. Si lo deshabilita, ESA omite los eventos acumulados. Por ejemplo, si ESA queda inactivo a las 7:00 h y se reinicia a las 11:00 h con el rastreo de posición deshabilitado, ESA comienza a procesar eventos que ocurrieron a las 10:55 h. Con el rastreo de posición habilitado, ESA comenzará a procesar eventos en el punto en que se detuvo.

  1. En el menú de Security Analytics, seleccione Administration > Servicios. Seleccione el servicio ESA y elija  > Ver Explorar
  2.  Vaya a Flujo de trabajo > Origen nextgenAggregationSource.
  3. Configure el atributo PositionTrackingEnabled en false. 

Si deshabilita el rastreo de posición, perderá los datos acumulados, pero en adelante, los eventos se ordenarán por hora de captura. 

You are here
Table of Contents > Procedimientos adicionales de ESA > Configurar ESA para que use el orden por hora de captura

Attachments

    Outcomes