アラート:評価版ルールの使用

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

ルールのメモリ使用量が多すぎると、ESAサービスの処理が遅延したり、無応答状態になったりする可能性があります。ルールがメモリを過剰に使用するのを防ぐには、あらゆる種類のルールで評価版ルールを有効にします。評価版ルールを作成するときに、ルールが使用できるメモリの割合をグローバル閾値として設定します。設定されたメモリ閾値を超えると、すべての評価版ルールが無効になります。

Security Analytics ESA(Event Stream Analysis)サービスでは、Concentratorからの大量の雑多なイベント データを処理することができます。ただし、Event Stream Analysisを利用すると、過度なメモリを使用するルールを作成してしまう場合があります。このようなルールにより、ESAサービスの処理が遅延したり、予期しないシャットダウンが発生する場合があります。ルールを評価版ルールとして構成することで、このようなことが起こらないようにできます。評価版ルールを構成する場合は、ルールが使用可能なメモリの割合をグローバル閾値として設定します。構成されたメモリ閾値を超えた場合は、すべての評価版ルールが自動的に無効になります。

より効率的なルールを作成するヒントについては、次のトピックの「ルール作成のベスト プラクティス」を参照してください。 ベスト プラクティス

 

ベスト プラクティスとして、新しいルールを追加したり既存のルールを編集したりするときに、評価版ルール オプションを選択します。このオプションを選択すると、次のことが可能になります。

  • 安全対策を講じた上で、ルールを導入する。
  • オプションで、メモリ使用率のスナップショットを表示して、ルールによってメモリに問題が生じていないか確認する。
  • ルール基準を変更してパフォーマンスを向上させる必要があるがどうかを判断する。

注:ルールを評価版ルールとして実行し、通常時およびピーク時のネットワーク トラフィックで十分な時間をかけてパフォーマンスを評価してください。 

 

You are here
Table of Contents > 評価版ルールの使用

Attachments

    Outcomes