Configuration d'ESA : Vue Configuration des services, onglet Avancé

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by Susan Ewald on Apr 23, 2018
Version 2Show Document
  • Comment0
  • View in full screen mode
 

L'onglet vue Configuration des services > Avancé d'un service ESA vous permet de configurer les paramètres avancés. Dans la vue Avancé, vous pouvez configurer les paramètres avancés pour améliorer les performances, pour préserver les événements des règles à plusieurs événements, pour mettre les événements dans le tampon mémoire et pour définir le nombre d'événements à stocker dans ESA.

Workflow

Ce workflow montre l'ensemble du processus de configuration d'ESA. Il indique également l'emplacement dans le processus de la configuration des paramètres avancés.

Il indique le workflow de configuration d'ESA et votre situation dans le processus : (Facultatif) Configurer les paramètres avancés

ESA comprend deux services, le service Event Stream Analysis (règles de corrélation ESA) et le service Event Stream Analytics Server (ESA Analytics). Les quatre premières procédures indiquées se rapportent à la configuration du service Event Stream Analysis :

  • Ajouter une source de données à un service ESA
  • Configurer les notifications
  • Télécharger le contenu
  • (Facultatif) Configurer les paramètres avancés

La dernière procédure se distingue des autres et s'applique à la création de mappages pour que les services ESA Analytics détectent automatiquement des menaces avancées :

  • (Facultatif) Créer et déployer des mappages ESA Analytics

Que voulez-vous faire ?

                                 
Rôle Je souhaite...Me montrer comment
AdministrateurAjouter un Concentrator comme source de données au service Event Stream Analysis

Voir Configurer des règles de corrélation ESA et Étape 1. Ajouter une source de données à un service ESA

AdministrateurConfigurer les notifications

Reportez-vous à la section « Méthodes de notification » dans le Guide des alertes basées sur ESA.

AdministrateurTélécharger le contenu

Reportez-vous à la section « Vue Live Search » dans le Guide de gestion des ressources Live.

AdministrateurConfigurer les paramètres avancés *

Étape 2. Configurer des paramètres avancés pour un service ESA

*Vous pouvez effectuer ces tâches ici (c'est-à-dire sous l'onglet Avancé de la vue Configuration des Services).

Rubriques connexes

  • Consultez la section « Ajouter ou mettre à jour un hôte » dans le Guide de mise en route de l'hôte et des services

Aperçu rapide

Pour accéder à l'onglet Avancé, accédez à ADMIN > Services > (sélectionnez un service ESA) > > Vue > Config.

La figure suivante illustre l'onglet Avancé de la vue Configuration des services d'un service ESA.

Onglet Avancé de la vue Configuration des services d'un service ESA

Paramètres du moteur d'alerte

Dans la section Moteur d'alertes, spécifiez les valeurs pour réserver des événements aux règles qui choisissent plusieurs événements. La figure suivante affiche la section Moteur d'alertes.

Section Moteur d'alerte

Le tableau suivant reprend les paramètres de la section Moteur d'alerte et leur description.

                         
ParamètreDescription
Nombre maximal d'événements constitutifsPour les règles qui choisissent plusieurs événements, cette valeur de configuration détermine le nombre d'événements associés qui sont conservés. Par exemple, si une règle déclenche une alerte avec 200 événements associés et que ce paramètre est défini sur 100, seuls les 100 premiers sont conservés par ESA, les autres sont supprimés. La valeur par défaut est 100.
La sélection de l'option Déboguer les règles ?active les règles de débogage.
Transférer les alertes vers le bus de messagesPour transférer les alertes ESA à NetWitness Respond, vous devez sélectionner cette option. Les alertes ESA générées sont envoyées au bus de message, puis à Répondre. Cette option est sélectionnée par défaut. Vous pouvez vérifier si le service Serveur Respond est en cours d'exécution.
Nombre maximal d'alertes par seconde pour une règle d'évaluation Vous pouvez spécifier le nombre maximal d'alertes à transférer au bus de messages pour la règle d'évaluation. Par exemple, si la valeur est définie sur 50, seules 50 alertes seront transmises au bus de messages pour la règle d'évaluation. Si la valeur est définie sur 0, les alertes générées par la règle d'évaluation ne seront pas transférées vers le bus de messages. La valeur par défaut est 10.

Paramètres du moteur de flux d'événements

Dans la section Event Stream Engine, spécifiez les détails pour améliorer les performances. La figure suivante affiche la section Moteur de flux d'événements.

Section Event Stream Engine

Le tableau suivant reprend les paramètres de la section Moteur de flux d'événements et leur description :

              
ParamètreDescription
Nombre maximal de sous-expressions de modèlesCertaines règles requièrent ESPER pour maintenir les sous-expressions en mémoire avant de décider de leur déclenchement ou non. Ces sous-expressions consomment de la mémoire et risquent d'entraîner l'arrêt du service par saturation de la mémoire si elles restent sans contrôle. Ce paramètre constitue une mesure de sécurité qui maintient sous contrôle les règles de monopolisation de la mémoire. Si une règle dépasse le nombre de sous-expressions spécifié, son traitement est retardé. La valeur par défaut est 0 ; ce paramètre est donc désactivé. Vous devez définir une valeur en cas de problème de stabilité du service.
You are here
Table of Contents > Références  > Vue Configuration des services, onglet Avancé

Attachments

    Outcomes