システム メンテナンス:Security Analyticsの事前定義ポリシー

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

Security Analyticsの事前定義ポリシー

次の表は、Security Analyticsの事前定義ポリシーと、各ポリシーに定義されたルールのリストを示しています。

これらのポリシーに対して次のタスクを実行できます。

  • サービス/グループの割り当ての変更。
  • ポリシーの無効化/有効化。

これらのポリシーに対して次のタスクを実行することはできません。

  • ポリシーの削除。
  • ポリシー名の編集。

注:事前定義ポリシーに関する追加情報については、
[ヘルスモニタ]>[ポリシー]タブで、実際のポリシーを参照してください。 

                                                                                                                                                                                                                                                                                                                                                                                         
ポリシー名ルール名アラームのトリガー
 Communication Failure Between Master Security Analytics Host and a Remote Host10分以上にわたって、ホストがダウンしている、ネットワークがダウンしている、メッセージ ブローカーがダウンしている、セキュリティ証明書が無効または見つからない。
SA Host Monitoring Policy Critical Usage on Rabbitmq Message Broker Filesystemvar/lib/rabbitmqで、マウントされたファイル システム全体のディスク使用率が75%を超える。
Filesystem is Fullマウントされたファイル システム全体のディスク使用率が100%に達する。
High Filesystem Usageマウントされたファイル システムのディスク使用率が95%を超える。
High System Swap Utilizationスワップの使用率が5%を超える状態が5分以上継続する。
High Usage on Rabbitmq Message Broker Filesystemマウントされたファイル システム全体のディスク使用率が60%を超える。
Host Unreachableホストがダウンしている。
LogCollector Event Processor Exchange Bindings Status10分以上にわたってログ収集メッセージ ブローカー キューに問題がある。
LogCollector Event Processor Queue with No Bindings10分以上にわたってログ収集メッセージ ブローカー キューに問題がある。
LogCollector Event Processor Queue with No Consumers10分以上にわたってログ収集メッセージ ブローカー キューに問題がある。
Power Supply Failureホストの電源がない。
RAID Logical Drive DegradedRAID論理ドライブのステータスが「Degraded」または「Partially Degraded」である。
RAID Logical Drive FailedRAID論理ドライブのステータスが「Offline」、「Failed」、「Unknown」である。
RAID Logical Drive RebuildingRAID論理ドライブのステータスが「Rebuild」である。
RAID Physical Drive FailedRAID物理ドライブのステータスが、「Online」、「Online Spun Up」、「Hotspare」のいずれでもない。
RAID Physical Drive Failure PredictedRAID物理ドライブの予測障害数が1より大きい。
RAID Physical Drive RebuildingRAID物理ドライブで、物理
ドライブの状態がRebuildと等しい。
RAID Physical Drive UnconfiguredRAID物理ドライブで、物理
ドライブの状態に「Unconfigured(good)」が含まれる。
SD Card FailureSDカードのステータスがOKでない。
SA Archiver
Monitoring Policy
Archiver Aggregation StoppedArchiverのステータスが「開始」でない。
Archiver Database(s) Not Openデータベースのステータスが「オープン」でない。
Archiver Not Consuming From Serviceデバイスのステータスが「consuming」でない。
Archiver Service in Bad Stateサービスのステータスが「開始」または「Ready」でない。
Archiver Service Stoppedサービスのステータスが「開始」でない。
SA Broker Monitoring Policy Broker >5 Pending Queries保留クエリーが5個以上ある状態が10分以上継続している。
Broker Aggregation StoppedBrokerのステータスが「開始」でない。
Broker Not Consuming From Serviceデバイスのステータスが「consuming」でない。
Broker Service in Bad Stateサービスのステータスが「開始」または「Ready」でない。
Broker Service Stoppedサービスのステータスが「開始」でない。
Broker Session Rate Zeroセッション レート(現在)が0の状態が2分以上継続している。
Security Analytics
Concentrator Monitoring Policy

 
 
 
 
Concentrator >5 Pending Queries保留クエリーが5個以上ある状態が10分以上継続している。
Concentrator Aggregation Behind >100K Sessions未処理デバイス セッションが100,000以上の状態が1分以上継続している。
Concentrator Aggregation Behind >1M Sessions未処理デバイス セッションが1,000,000以上の状態が1分以上継続している。
Concentrator Aggregation Behind >50M Sessions未処理デバイス セッションが50,000,000以上の状態が1分以上継続している。
Concentrator Aggregation StoppedBrokerのステータスが「開始」でない。
Concentrator Database(s) Not Openデータベースのステータスが「オープン」でない。
Concentrator Meta Rate ZeroConcentratorメタ レート(現在)が0の状態が2分以上継続している。
Concentrator Not Consuming From Serviceデバイスのステータスが「consuming」でない。
Concentrator Service in Bad Stateサービスのステータスが「開始」または「Ready」でない。
Concentrator Service Stoppedサービスのステータスが「開始」でない。
Security Analytics Decoder
Monitoring Policy
Decoder Capture Not Started収集ステータスが「開始」でない。
Decoder Capture Rate Zero収集レート(現在)が0の状態が2分以上継続している。
Decoder Database Not Openデータベースのステータスが「オープン」でない。
Decoder Dropping >1% of Packets収集のパケット ドロップ レート(現在)が1%以上である。
Decoder Dropping >10% of Packets収集のパケット ドロップ レート(現在)が10%以上である。
Decoder Dropping >5% of Packets収集のパケット ドロップ レート(現在)が5%以上である。
Decoder Packet Capture Pool Depletedパケット収集キューが0の状態が2分以上継続している。
Decoder Service in Bad Stateサービスのステータスが「開始」または「Ready」でない。
Decoder Service Stoppedサービスのステータスが「開始」でない。
Security Analytics Event Steam Analysis
Monitoring Policy

 
 
 
 
ESA Overall Memory Utilization > 85%ESAの総メモリ使用率が85%以上である。
ESA Overall Memory Utilization > 95%ESAの総メモリ使用率が95%以上である。
ESA Service Stoppedサービスのステータスが「開始」でない。
ESA Trial Rules Disabled評価版ルールのステータスが有効でない。
Security Analytics IPDB
Extractor
Monitoring
Policy
IPDB Extractor Service in Bad Stateサービスのステータスが「開始」または「Ready」でない。
IPDB Extractor Service Stoppedサービスのステータスが「開始」でない。
Security Analytics Incident Management
Monitoring
Policy
Incident Management Service Stoppedサービスのステータスが「開始」でない。
Security Analytics Log Collector
Monitoring
Policy
Log Collector Service Stoppedサービスのステータスが「開始」でない。
Log Decoder Event Queue > 50% Full現在のキューのイベント数がキューの50%以上を使用している。
Log Decoder Event Queue > 80% Full現在のキューのイベント数がキューの80%以上を使用している。
Log Collector Service in Bad Stateサービスのステータスが「開始」または「Ready」でない。
Security Analytics Log Decoder
Monitoring
Policy
Decoder Dropping>10% of Packets収集のパケット ドロップ レート(現在)が10%以上である。
Log Capture Not Started収集ステータスが「開始」でない。
Log Decoder Capture Rate Zero収集レート(現在)が0の状態が2分以上継続している。
Log Decoder Database Not Openデータベースのステータスが「オープン」でない。
Log Decoder Dropping >1% of Logs収集のパケット ドロップ レート(現在)が1%以上である。
Log Decoder Dropping >5% of Logs収集のパケット ドロップ レート(現在)が5%以上である。
Log Decoder Packet Capture Pool Depletedパケット収集キューが0の状態が2分以上継続している。
Log Decoder Service Stoppedサービスのステータスが「開始」でない。
Log Decoder Service in Bad Stateサービスのステータスが「開始」または「Ready」でない。
Security Analytics Malware Analysis
Monitoring
Policy
Malware Analysis Service Stoppedサービスのステータスが「開始」でない。
Security Analytics Reporting Engine Monitoring
Policy
Reporting Engine Alerts Critical Utilizationアラート使用率が10%以上の状態が5分以上継続している。
Reporting Engine Available Disk <10%使用可能ディスク領域が10%未満である。 
Reporting Engine Available Disk <5%使用可能ディスク領域が5%未満である。 
Reporting Engine Charts Critical Utilizationチャート使用率が10%以上の状態が5分以上継続している。
Reporting Engine Rules Critical Utilizationルール使用率が10%以上の状態が5分以上継続している。
Reporting Engine Schedule Task Pool Critical Utilizationスケジュール タスク プール使用率が10%以上の状態が15分以上継続している。
Reporting Engine Service Stoppedサービスのステータスが「開始」でない。
Reporting Engine Shared Task Critical Utilization共有タスクプール使用率が10%以上の状態が5分以上継続している。
Security Analytics Warehouse Connector
Monitoring
Policy
Warehouse Connector Service in Bad Stateサービスのステータスが「開始」または「Ready」でない。
Warehouse Connector  Service Stoppedサービスのステータスが「開始」でない。
Warehouse Connector  Stream Behind未処理のストリームが2,000,000以上である。
Warehouse Connector  Stream Disk Utilization > 75%ストリーム ディスク使用率(宛先ロード待ち)が75%以上である。
Warehouse Connector Stream in Bad Stateストリームのステータスが、「consuming」または「Online」でない状態が10分以上継続している。
Warehouse Connector Stream Permanently Rejected Files > 300永続的に拒否したファイルの数が300以上である。
Warehouse Connector Stream Permanently Rejected Folder > 75% Full拒否フォルダの使用率が75%以上である。
Security Analytics Workbench Monitoring Policy Workbench Service in Bad Stateサービスのステータスが「開始」または「Ready」でない。
Workbench Service Stoppedサービスのステータスが「開始」でない。
You are here
Table of Contents > 参考資料 > ヘルス モニタ > [ポリシー]ビュー > Security Analyticsの事前定義ポリシー

Attachments

    Outcomes