Warnmeldungen: Verwenden von Testregeln

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

Wenn Regeln zu viel Speicher benötigen, kann Ihr ESA-Service langsam werden oder nicht mehr reagieren. Um dafür zu sorgen, dass Regeln nicht übermäßig viel Speicher benötigen, können Sie für jeden Regeltyp Testregeln aktivieren. Standardmäßig werden neue Regeln, die Sie erstellen, und RSA Live-Regeln, die Sie importieren, als Testregeln konfiguriert. RSA empfiehlt, dass Sie die Testregel-Einstellung erst nach dem Testen der neuen Regel in Ihrer Umgebung während des normalen und des höchsten Netzwerkverkehrs deaktivieren. Wenn Sie eine Testregel erstellen, stellen Sie einen globalen Schwellenwert für den Prozentsatz des Speichers ein, den Regeln verwenden können. Wenn dieser konfigurierte Speicherschwellenwert überschritten wird, werden alle Testregeln deaktiviert.

Der ESA-Service von NetWitness Suite ist in der Lage, große Mengen unterschiedlicher Ereignisdaten von Concentrators zu verarbeiten. Allerdings ist es bei der Arbeit mit Event Stream Analysis möglich, Regeln zu erstellen, die übermäßig viel Speicher verwenden. Dies kann Ihren ESA-Service verlangsamen oder sogar verursachen, dass er unerwartet herunterfährt. Um dafür zu sorgen, dass das nicht passiert, können Sie Ihre Regel als eine Testregel konfigurieren. Wenn Sie eine Testregel konfigurieren, stellen Sie auch einen globalen Schwellenwert für den Prozentsatz des Speichers ein, den Regeln verwenden können. Wenn dieser konfigurierte Speicherschwellenwert überschritten wird, werden alle Testregeln automatisch deaktiviert.

Empfehlungen zur Erstellung effizienterer Regeln finden Sie unter „Best Practices für das Schreiben von Regeln“ in Best Practices

Standardmäßig werden neue Regeln und RSA Live-Regeln als Testregeln konfiguriert. Eine Best Practice ist es, wenn Sie eine bestehende Regel bearbeiten, die Option „Testregel“ auszuwählen, die Ihnen Folgendes ermöglicht:

  • Die Regel mit einer zusätzlichen Sicherung bereitzustellen
  • Optional einen Snapshot der Speicherauslastung anzuzeigen, um zu erkennen, ob die Regel Speicherprobleme verursacht
  • Zu wissen, ob Sie die Regelkriterien ändern müssen, um die Performance zu verbessern

Hinweis: Führen Sie eine Regel lange genug als Testregel aus, um die Performance während des normalen und des höchsten Netzwerkverkehrs zu bewerten. 

You are here
Table of Contents > Verwenden von Testregeln

Attachments

    Outcomes