ATD : Dépannage de la détection automatisée des menaces

Document created by RSA Information Design and Development on Apr 17, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Suite La détection automatisée des menaces est un moteur d'analyse qui examine vos données HTTP. Il permet également d'utiliser d'autres composants, comme les services Whois et Context Hub, qui peuvent ajouter de la complexité à votre installation. Cette rubrique fournit des suggestions vous permettant de trouver des solutions si le déploiement de votre détection automatisée des menaces ne fournit pas les résultats escomptés.

Problèmes possibles

                                 
ProblèmeCauses possiblesSolutions
De nombreuses alertes s'affichent à l'écran (fausses alertes).Plusieurs

Une cause possible est que le service de recherche Whois échoue ou est mal configuré. La recherche Whois est utile pour déterminer si une URL est valide, et si la connexion échoue ou n'est pas correctement configurée, ce qui entraîne de fausses alertes. Consultez la section « Configurer le service de recherche Whois » dans le Guide de configuration ESA.

  Vous devrez peut-être créer une liste blanche des URL. Parfois, le comportement légitime d'une URL déclenche une alerte. Une façon d'éviter ce problème est d'ajouter l'URL à la liste blanche. Consultez la section « Ajouter une entité à une liste blanche » dans le NetWitness Respond Guide d'utilisation.
Je ne vois aucune alerte.L'hôte ESA nécessite une période de préparation lorsque vous déployez un mappage de module ESA Analytics pour la détection automatisée des menaces. Lorsque vous déployez un mappage de module ESA Analytics pour la détection automatisée des menaces, il existe une période de préparation durant laquelle aucune alerte ne s'affiche à l'écran. Chaque type de module dispose d'une période de préparation par défaut et vous devez attendre jusqu'à la fin de cette période. Pour plus d'informations, consultez la section « Mappage des sources de données ESA aux modules Analytics » dans le Guide de configuration ESA.
Je rencontre des problèmes de performance (utilisation accrue des ressources ou baisse du débit).PlusieursSi vous rencontrez des problèmes de performance sur un hôte ESA qui exécute la détection automatisée des menaces (ESA Analytics) et les règles ESA, suivez les étapes de dépannage relatives aux règles. Pour en savoir plus sur ces étapes de dépannage, accédez à la section « Dépanner le service ESA » dans le Guide des alertes basées sur ESA.
You are here
Table of Contents > Dépannage de la détection automatisée des menaces

Attachments

    Outcomes