アラート:評価版ルールの使用

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • View in full screen mode
 

ルールのメモリ使用量が多すぎると、ESAサービスの処理が遅延したり、無応答状態になったりする可能性があります。ルールがメモリを過剰に使用するのを防ぐには、あらゆる種類のルールで評価版ルールを有効にします。デフォルトでは、作成した新しいルールとインポートしたRSA Liveルールは、評価版ルールとして構成されます。RSAでは、お使いの環境の通常時とピーク時のネットワーク トラフィックで新しいルールをテストした後でのみ、評価版ルール設定を無効化することをお勧めします。評価版ルールを作成するときに、ルールが使用できるメモリの割合をグローバル閾値として設定します。設定されたメモリ閾値を超えると、すべての評価版ルールが無効になります。

NetWitness Suite ESA(Event Stream Analysis)サービスは、Concentratorから受信する大量の雑多なイベント データを処理することができます。ただし、過度なメモリを使用するルールを作成してしまう場合があります。このようなルールにより、ESAサービスの処理が遅延したり、予期しないシャットダウンが発生する場合があります。ルールを評価版ルールとして構成することで、このようなことが起こらないようにできます。評価版ルールを構成する場合は、ルールが使用可能なメモリの割合をグローバル閾値として設定します。構成されたメモリ閾値を超えた場合は、すべての評価版ルールが自動的に無効になります。

より効率的なルールを作成するヒントについては、ベスト プラクティスの「ルール作成のベスト プラクティス」を参照してください。

デフォルトでは、新しいルールとRSA Liveルールは、評価版ルールとして構成されます。ベスト プラクティスとして、既存のルールを編集するときにも、評価版ルール オプションを選択します。このオプションを選択すると、次のことが可能になります。

  • 安全対策を講じた上で、ルールを導入する。
  • オプションで、メモリ使用率のスナップショットを表示して、ルールによってメモリに問題が生じていないか確認する。
  • ルールの条件を変更してパフォーマンスを向上させる必要があるがどうかを判断する。

注:ルールを評価版ルールとして実行し、通常時およびピーク時のネットワーク トラフィックで十分な時間をかけてパフォーマンスを評価してください。 

You are here
Table of Contents > 評価版ルールの使用

Attachments

    Outcomes