アラート:自動脅威検出のトラブルシューティング

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

自動脅威検出は、HTTPデータを調査する解析エンジンです。自動脅威検出ではWhoIsサービスやContext Hubなどの他のコンポーネントも活用するため、インストール環境が複雑になる可能性があります。このトピックでは、自動脅威検出の導入が予想した結果にならない場合に問題の検出に役立つ推奨事項を示します。

自動脅威検出のトラブルシューティングを実施する場合は、使用するモードを考慮することが重要です。混合モード(自動脅威検出がESAルールまたはContext Hubと同じマシンで有効化されている)の場合は、トラブルシューティングの際にメモリ使用量とこれらのアプリケーションのI/Oを確認する必要があります。一般に、混合モードのインストール環境では、自動脅威検出は利用可能なメモリの約50%を使用しますが、ESAルールのメモリ使用量は無制限です。したがって、混合モードでトラブルシューティングをする場合、まず最初にESAルールをチェックします。 

混合モードを使用している場合は、ESAでメモリ プールまたはイベント収集時間順序が構成されているかどうかも確認する必要があります。メモリ プールはパフォーマンスに影響し、イベント収集時間順序はパフォーマンスとメモリ使用量に影響する可能性があります。 

発生する可能性のある問題

                                 
問題考えられる原因解決策
表示されるアラート(誤検出)が多すぎます。複数

考えられる原因の1つとして、Whoisルックアップが失敗しているか構成されていません。Whoisルックアップは、URLのドメインが正当かどうかを判断するのに役立ちます。Whoisサービスへの接続が失敗していたり、正しく構成されていない場合は、誤検出が発生する可能性があります。

表示可能なWhoisルックアップ サービスのカウンターが多数あります。 

  1. [Administration]>[サービス]から、ESAサービスを選択し、ic-actns.png>[表示]>[エクスプローラ]を選択します。 
  2. エクスプローラで、[Service]>[Whois]>[whoisClient]をクリックします。

次のカウンターをチェックすると役に立ちます。

  • FailedLookupCount:RSA WhoisサービスへのWhoisデータのリクエストが失敗するたびに、カウントが増加します。
  • LookupEnqueueFailureCount:キャッシュへのエントリーの追加が失敗するとカウントされます。 失敗の原因はキャッシュの内部エラーです。
  • Response401Count:401ステータス コードで失敗したRSA Whoisサーバへのリクエストがカウントされます。 認証トークンの有効期限が切れているリクエストがこのカウントに含まれます。このカウントはFailedLookupCountに含まれます。
  URLをホワイトリストに追加する必要がある場合があります。URLの正当な動作により、アラートがトリガーされることがあります。これを防ぐ方法の1つは、ホワイトリストにURLを追加することです。手順については、次のトピックの「誤検出の削減」を参照してください:自動脅威検出結果の使用.
アラートが全く表示されません。自動脅威検出を有効にした場合、ESAには24時間の「ウォームアップ」期間が必要です。 自動脅威検出を有効にする場合、「ウォームアップ」期間があり、その間はアラートが表示されません。デフォルトの期間は24時間です。この24時間の学習期間の後にアラートが表示されます。ESAを再起動すると、この学習期間が最初から開始され、24時間の待機時間がリセットされます。
パフォーマンスの問題(リソース使用率の上昇またはスループットの低下)が生じます。複数パフォーマンスの問題が発生しているESAで、ESAルールも実行している場合は、ESAルールのトラブルシューティング手順を実施してください。ESAルールは無制限ですが、自動脅威検出は一定量のリソースを使用する構成(通常は約50%)になっています。これらのトラブルシューティング手順については、次のトピックを参照してください:ESAのトラブルシューティング.
Next Topic:参考資料
You are here
Table of Contents > 自動脅威検出の使用 > 自動脅威検出のトラブルシューティング

Attachments

    Outcomes