Configuration d’ESA : Paramètres du module

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by Susan Ewald on Apr 23, 2018
Version 2Show Document
  • View in full screen mode
 

Une fois que vous avez créé ou déployé un mappage de module dans le panneau Mappages ESA Analytics (ADMIN > Système > ESA Analytics), vous avez la possibilité de modifier certaines configurations de module pour ce mappage.

Que voulez-vous faire ?

                            
Rôle Je souhaite...Me montrer comment
Administrateur

Modifier la période d’initialisation d’un mappage de module non déployé.

Modifier la période d'initialisation et le temps de latence

Administrateur

Modifier la période d’initialisation pour un mappage de module au cours de la période d’initialisation.

Modifier la période d'initialisation et le temps de latence

Administrateur

Modifier la période d’initialisation pour un mappage de module après la période d’initialisation.

Modifier la période d'initialisation et le temps de latence

Rubriques connexes

Paramètres du module

Pour accéder aux paramètres du module, dans le panneau Mappages ESA Analytics, sélectionnez le mappage que vous souhaitez modifier puis, dans la colonne Actions, sélectionnez Icône Actions > Modifier le module. La boîte de dialogue Paramètres du module comporte la section Configurations et la section État de l'initialisation.

Boîte de dialogue Paramètres du module

Configurations

La section Configurations vous permet de modifier les configurations de la période d’initialisation et du temps de latence.

Le tableau suivant décrit les paramètres disponibles pour un mappage de module d’analytique d’ESA.

                               
ChampDescription

Module

Nom du module mappé.

Service

Affiche le service ESA Analytics qui traite les données pour le mappage.

Sources

Affiche les sources de données mappées et les URL permettant de communiquer avec ESA.

Période d'initialisation (Heures)

Spécifie une durée d'initialisation (en heures). Une période d'initialisation est nécessaire pour permettre à la détection automatisée des menaces d’en savoir plus sur votre trafic. La période d'initialisation doit s’exécuter lorsqu’un trafic classique est en cours d’exécution. Pendant ce temps, l’alerte relative au mappage de module est supprimée. La période d'initialisation amorce le module avec les données historiques et garantit que le nombre spécifié d'heures de collecte de données est atteint avant l’envoi d’alertes.

RSA fournit des modules ESA Analytics préconfigurés. Chaque type de module dispose d’une période d'initialisation définie par défaut, que vous pouvez ajuster à votre environnement, si nécessaire. Après cette période d'initialisation, les alertes peuvent être affichées.

Vous pouvez mettre à jour la période d’initialisation d’un mappage de module déployé selon que la période d’initialisation est terminée ou non :

  • Pendant la période d’initialisation - Vous pouvez ajouter des heures à la période d’initialisation ou soustraire un temps d’initialisation.

  • Après la période d’initialisation - Vous pouvez ajouter des heures à la période d’initialisation en ajoutant la différence entre l’heure actuelle et l’heure du premier événement aux heures que vous souhaitez ajouter.
    Par exemple, une période d’initialisation de 10 heures est terminée et l’heure du premier événement est 12:00:00. L’heure actuelle (système) est 16:00:00 (4 heures plus tard) et vous souhaitez ajouter 5 heures à la période d’initialisation. Pour ce faire, vous devez ajouter 9 heures (4+5=9) à la période d’initialisation de 10, donc vous devez définir une nouvelle période d’initialisation de 19 heures.
    Vous ne pouvez pas réduire la période d’initialisation si elle est terminée, sauf si vous supprimez le mappage et que vous en créez un nouveau.

La valeur de la période d’initialisation est spécifique à un mappage en particulier, et elle s’applique à tous les Concentrators au sein de ce mappage une fois qu’il est déployé. Si un Concentrator est partagé entre deux modules associés à des périodes d’initialisation différentes, le Concentrator utilise des valeurs de période d’initialisation distinctes pour chaque mappage de module.

Temps de latence (Minutes)

Spécifie un délai constant, en minutes, qui est ajouté pour éviter de perdre des événements en cours de traitement par les sources de données pendant les périodes d’activité intense. Par exemple, les performances du Concentrator varient en fonction de facteurs tels que la charge entrante, les requêtes en continu et l’indexation. En raison de ces facteurs, un Concentrator peut ne pas agréger les événements en temps réel, ce qui entraîne un retard.

Le paramètre de latence donne au service Concentrator une chance de terminer l'agrégation de toutes les données. Lorsque vous spécifiez un temps de latence, la première fois que le module est déployé, l’agrégation des données débute à l’Heure actuelle (système) - Temps de latence. Par exemple, si l’heure actuelle indique 14h00, le temps de latence 30 minutes et la période d’initialisation 4 heures, lorsque le module est déployé pour la première fois, la collecte des données commence à 9h30 (14h00 - 0,5 heure - 4 heures).

Une fois la période d'initialisation terminée, l’agrégation des données se poursuit à l’Heure actuelle (système) - Temps de latence. Cela est utile lorsqu'un Concentrator tarde à agréger les données. Le temps de latence garantit que le module ne traite pas les données qui arrivent au Concentrator pendant la période de latence, et un retard suffisant assure que tous les événements générés dans l’entreprise peuvent être traités par le module.

Par exemple, si le temps de latence est de 30 minutes et que l’heure actuelle est 14h00, le Concentrator commencera à extraire les enregistrements à 13h30. La période de latence, 30 minutes dans cet exemple, reste constante. Lorsque l’heure actuelle passe à 14h01, le Concentrator extrait la minute de données suivante à 13h31, et ainsi de suite.

Important : Le temps de latence définit le décalage entre l’heure actuelle et l’heure à laquelle le module réceptionne les données.

La valeur du temps de latence est spécifique à un mappage en particulier, et elle s’applique à tous les Concentrators au sein de ce mappage une fois qu’il est déployé. Si un Concentrator est partagé entre deux modules associés à des temps de latence différents, le Concentrator utilise des valeurs de latence distinctes pour chaque mappage de module.

Attention : RSA recommande aux administrateurs d’ajuster le paramètre de latence dynamiquement en fonction des performances de chaque Concentrator pour éviter de manquer des événements lors de l’agrégation.

Pour déterminer le temps de latence correct, additionnez les données suivantes pour obtenir un temps de latence environnemental :

1. Latence de log ou de paquet - Temps nécessaire au Log Decoder pour recevoir les logs ou au Decoder (Paquet) pour recevoir des paquets. Par exemple, le Log Decoder peut recevoir les logs toutes les 20 minutes. Dans ce cas, vous pouvez définir des temps de latence d’au moins 20 minutes, de préférence 25 minutes, afin de ne manquer aucun événement.

2. Latence d’agrégation - Temps nécessaire pour récupérer les données à partir du Log Decoder pour le Concentrator.

3. Autre tampon - Ajoutez tout autre délai supplémentaire spécifique à votre environnement.

État de l'initialisation

Cette section fournit des informations sur l’état de l'initialisation qui vous permettent de déterminer les ajustements nécessaires à la période d'initialisation.

                               
ChampDescription

Initialisation démarrée à

Heure à laquelle le premier événement a été traité par le module ESA Analytics à partir de la source de données.

Heure du premier événement

Heure à laquelle le premier événement s'est produit. La période d'initialisation est basée sur cette heure.

Heure du dernier événement

Heure à laquelle le dernier événement s'est produit.

Temps d'initialisation restant

Nombre d’heures restantes dans la période d'initialisation.

Terminé ?

Indique si la période d'initialisation est terminée. Si c’est le cas, la période d'initialisation est terminée. Si ce n’est pas le cas, le module est toujours en cours d'initialisation et vous pouvez afficher le nombre d’heures restantes dans le champ Temps d'initialisation restant.

 

Previous Topic:Mappages ESA Analytics
You are here
Table of Contents > Références  > Paramètres du module

Attachments

    Outcomes