Skip navigation

Log in to create and rate content, and to follow, bookmark, and share content with other members.

ATD：自動脅威検出のトラブルシューティング

Document created by RSA Information Design and Development on Apr 18, 2018

Version 1Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

NetWitness Suite自動脅威検出は、HTTPデータを調査する解析エンジンです。自動脅威検出ではWhoisサービスやContext Hubなどの他のコンポーネントも活用するため、インストール環境が複雑になる可能性があります。このトピックでは、自動脅威検出の導入が予想した結果にならない場合に問題の検出に役立つ推奨事項を示します。

発生する可能性のある問題

問題	考えられる原因	解決策
表示されるアラート（誤検出）が多すぎます。	複数	考えられる原因の1つとして、Whoisルックアップサービスが失敗しているか構成されていません。Whoisルックアップは、URLのドメインが正当かどうかを判断するのに役立ちます。Whoisサービスへの接続が失敗していたり、正しく構成されていない場合は、誤検出が発生する可能性があります。「ESA構成ガイド」の「Whoisルックアップサービスの構成」を参照してください。
		URLをホワイトリストに追加する必要がある場合があります。URLの正当な動作により、アラートがトリガーされることがあります。これを防ぐ方法の1つは、ホワイトリストにURLを追加することです。「NetWitness Respondユーザガイド」の「ホワイトリストへのエンティティの追加」を参照してください。
アラートが全く表示されません。	自動脅威検出のESA Analyticsモジュールマッピングを導入するときは、ESAホストに「ウォームアップ」期間が必要です。	自動脅威検出のESA Analyticsモジュールマッピングを導入する場合、「ウォームアップ」期間があり、その間はアラートが表示されません。各モジュールタイプにデフォルトのウォームアップ期間があり、ウォームアップ期間が完了するまで待機する必要があります。詳細については、「ESA構成ガイド」の「ESAデータソースのAnalyticsモジュールへのマッピング」を参照してください。
パフォーマンスの問題（リソース使用率の上昇またはスループットの低下）が生じます。	複数	自動脅威検出（ESA Analytics）とESAルールの両方を実行しているESAホストでパフォーマンスの問題が発生している場合は、ESAルールのトラブルシューティング手順を実施してください。これらのトラブルシューティング手順については、「ESAを使用したアラートガイド」の「ESAのトラブルシューティング」を参照してください。

Previous Topic:不審なドメインに対する自動脅威検出の構成

You are here

Table of Contents > 自動脅威検出のトラブルシューティング

Attachments

Outcomes

0 Comments

Recommended Content

Incoming Links