ESA構成:[サービス]の[構成]ビューの[詳細]タブ

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

[サービス]の[構成]ビュー>ESAサービスの[詳細]タブでは、詳細設定を構成できます。ESAサービスの[詳細]ビューでは、パフォーマンスの調整、複数イベントが対象となるルールでのイベント保存、メモリでのイベントのバッファリング、ESAに格納するイベント数の設定などの詳細設定を構成することができます。

ワークフロー

このワークフローは、ESA構成の全体的なプロセスを示しています。また、このプロセスでの詳細設定の構成の位置も示しています。

ESA構成ワークフローとプロセスのどこにいるかが示されます。プロセス:(オプション)詳細設定の構成

ESAには、2つのサービス、Event Stream Analysisサービス(ESA相関ルール)と、Event Stream Analyticsサーバ サービス(ESA Analytics)があります。次に示す最初の4つの手順は、Event Stream Analysisサービスの構成に関連します。

  • ESAサービスへのデータ ソースの追加
  • 通知の構成
  • Liveコンテンツのダウンロード
  • (オプション)詳細設定の構成

最後の手順は、他からは分離されていて、ESA Analyticsサービスが自動的に高度な脅威の検出を開始するためのマッピングの作成に関連します。

  • (オプション)ESA Analyticsマッピングの作成と導入

どうしますか?

                                 
ロール 処理オプション...方法を確認する
管理者Event Stream AnalysisサービスにConcentratorをデータ ソースとして追加

ESA相関ルールの構成」と「ステップ1. ESAサービスへのデータ ソースの追加」を参照してください。

管理者通知の構成

ESAを使用したアラート ガイド」の「通知方法」を参照してください。

管理者Liveコンテンツのダウンロード

Liveリソース管理ガイド」の「Liveの[検索]ビュー」を参照してください。

管理者詳細設定の構成*

ステップ2. ESAサービスの詳細設定の構成

*これらのタスクはここ(つまり、[サービス]の[構成]ビューの[詳細]タブ)で完了できます。

関連トピック

  • ホストおよびサービス スタート ガイド」の「ホストの追加または更新」を参照

簡単な説明

[詳細]タブにアクセスするには管理>[サービス]>(ESAサービスを選択)>[表示]>[構成]に移動します。

次の図は、ESAサービスの[サービス]の[構成]ビューの[詳細]タブを示します。

ESAサービスの[サービス]の[構成]ビューの[詳細]タブ

アラート エンジンの設定

[アラート エンジン]セクションでは、複数のイベントが選択されるルールに関して、イベントの保持に関する設定を構成します。次の図に、[アラート エンジン]セクションを示します。

[アラート エンジン]セクション

次の表に、[アラート エンジン]セクションのパラメーターとその説明を示します。

                         
パラメーター説明
最大イベント要素数この値は、複数のイベントが選択されるルールについて、関連づけて保存されるイベントの数を決定します。たとえば、あるルールによって発生するアラートに、関連するイベントが200個存在する場合、このパラメーターを100に設定すると、最初の100件のみがESAによって保存され、残りは破棄されます。デフォルト値は100です。
ルールのデバッグ選択すると、ルールのデバッグが有効になります。
メッセージ バスでアラートを転送NetWitness RespondのESAアラートを転送するには、このオプションを選択する必要があります。生成されるESAアラートはメッセージ バスに送信された後、Respondに送信されます。このオプションはデフォルトでオンになっています。Respond Serverサービスが実行されていることを確認する必要があります。
評価版ルールの1秒あたりの最大アラート数 評価版ルールがメッセージ バスに転送するアラートの最大数を指定できます。たとえば、値が50に設定されている場合は、50件のアラートのみを評価版ルールがメッセージ バスに転送します。値が0に設定されている場合は、評価版ルールによって生成されたアラートはメッセージ バスに転送されません。デフォルト値は10です。

イベント ストリーム エンジンの設定

[イベント ストリーム エンジン]セクションでは、パフォーマンスを調整するための値を指定します。次の図に、[イベント ストリーム エンジン]セクションを示します。

[イベント ストリーム エンジン]セクション

次の表に、[イベント ストリーム エンジン]セクションのパラメーターとその説明を示します。

              
パラメーター説明
パターン副次式の最大数一部のルールでは、ESPERでアラート発生の条件を判定するために、メモリ内に副次式を保持しておく必要があります。これらの副次式はメモリを消費するため、チェックをせずに放置しておくと、メモリ不足でサービスが停止する可能性があります。このパラメータは、メモリ消費量の多いルールを常時チェックするための安全対策を目的としています。ルールの副次式が指定した数を超えた場合、その処理は延期されます。デフォルト値は0です。これは、設定が無効になっていることを意味します。サービスの安定性が懸念される場合は、この値を設定する必要があります。
You are here
Table of Contents > 参考情報 > [サービス]の[構成]ビューの[詳細]タブ

Attachments

    Outcomes