ATD:自動脅威検出のトラブルシューティング

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Suite自動脅威検出は、HTTPデータを調査する解析エンジンです。自動脅威検出ではWhoisサービスやContext Hubなどの他のコンポーネントも活用するため、インストール環境が複雑になる可能性があります。このトピックでは、自動脅威検出の導入が予想した結果にならない場合に問題の検出に役立つ推奨事項を示します。

発生する可能性のある問題

                                 
問題考えられる原因解決策
表示されるアラート(誤検出)が多すぎます。複数

考えられる原因の1つとして、Whoisルックアップ サービスが失敗しているか構成されていません。Whoisルックアップは、URLのドメインが正当かどうかを判断するのに役立ちます。Whoisサービスへの接続が失敗していたり、正しく構成されていない場合は、誤検出が発生する可能性があります。「ESA構成ガイド」の「Whoisルックアップ サービスの構成」を参照してください。

  URLをホワイトリストに追加する必要がある場合があります。URLの正当な動作により、アラートがトリガーされることがあります。これを防ぐ方法の1つは、ホワイトリストにURLを追加することです。「NetWitness Respondユーザ ガイド」の「ホワイト リストへのエンティティの追加」を参照してください。
アラートが全く表示されません。自動脅威検出のESA Analyticsモジュール マッピングを導入するときは、ESAホストに「ウォーム アップ」期間が必要です。 自動脅威検出のESA Analyticsモジュール マッピングを導入する場合、「ウォーム アップ」期間があり、その間はアラートが表示されません。各モジュール タイプにデフォルトのウォーム アップ期間があり、ウォーム アップ期間が完了するまで待機する必要があります。詳細については、「ESA構成ガイド」の「ESAデータ ソースのAnalyticsモジュールへのマッピング」を参照してください。
パフォーマンスの問題(リソース使用率の上昇またはスループットの低下)が生じます。複数自動脅威検出(ESA Analytics)とESAルールの両方を実行しているESAホストでパフォーマンスの問題が発生している場合は、ESAルールのトラブルシューティング手順を実施してください。これらのトラブルシューティング手順については、「ESAを使用したアラート ガイド」の「ESAのトラブルシューティング」を参照してください。
You are here
Table of Contents > 自動脅威検出のトラブルシューティング

Attachments

    Outcomes