Configuration d'ESA : Mappages ESA Analytics

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by Susan Ewald on Apr 23, 2018
Version 2Show Document
  • View in full screen mode
 

Dans le panneau Mappages ESA Analytics (ADMIN > Système > ESA Analytics), vous définissez la façon dont la fonctionnalité RSA de détection automatisée des menaces doit détecter automatiquement les menaces avancées. Vous pouvez analyser les données qui résident sur un ou plusieurs Concentrators en sélectionnant un module ESA Analytics préconfiguré.

Pour mieux utiliser vos ressources réseau et réduire le flux de données inutile, vous pouvez mapper plusieurs sources de données (telles que des Concentrators) aux services ESA Analytics disponibles afin de traiter les données plus efficacement et de tirer parti de capacités supplémentaires.

Workflow

Ce workflow montre le processus de création et d'activation d'un mappage ESA Analytics pour une détection automatique des menaces avancées.

Avant de créer un mappage ESA Analytics, assurez-vous que les hôtes et services ESA que vous souhaitez utiliser pour vos mappages sont en ligne et disponibles. Tous les services doivent être synchronisés avec une source de temps cohérente. Assurez-vous également que les Concentrators collectent les données nécessaires. Lorsque vous créez un mappage ESA Analytics, sélectionnez le module ESA Analytics à mapper, par exemple, Domaines suspects. Ensuite, sélectionnez les sources de données, telles que les Concentrators, à utiliser pour ce module, ainsi qu'un service ESA Analytics pour traiter les données. Lorsque vous êtes prêt à démarrer l'agrégation des données, déployez le mappage. Les analystes peuvent afficher les menaces détectées pour ce module dans la vue Répondre.

Que voulez-vous faire ?

                                      
Rôle Je souhaite...Me montrer comment
Administrateur

Vérifiez que les hôtes et services ESA sont en ligne et disponibles.

ADMIN > HÔTES et ADMIN > SERVICES
Consultez le Guide de mise en route des hôtes et des services.

Administrateur

Assurez-vous que les Concentrators collectent les données nécessaires.

Consultez le Guide de configuration de Broker et Concentrator

AdministrateurCréer des mappages ESA Analytics*

Mappage des sources de données ESA aux modules Analytics

AdministrateurDéployer des mappages ESA Analytics*Mappage des sources de données ESA aux modules Analytics
Administrateur,
analyste
Afficher les menaces détectées

Consultez le Guide d'utilisation de NetWitness Respond.

*Vous pouvez effectuer ces tâches ici (c'est-à-dire dans le panneau mappages ESA Analytics).

Rubriques connexes

Aperçu rapide

L'exemple suivant illustre un mappage ESA Analytics. La configuration définit les sources de données du module sélectionné et le service ESA Analytics qui traitera les événements à partir de ces sources de données.

Diagramme des mappages ESA Analytics

                                     
1Affiche le panneau Mappages ESA Analytics.
2Affiche l'état du mappages ESA Analytics.
3Nom du module mappé.
4Sources de données, telles que les Concentrators, attribuées au mappage.
5Service ESA Analytics qui traite les données pour le mappage.
6Configuration de la période d'initialisation (en heures) sur les sources de données pour le mappage.
7Configuration du temps de latence (en minutes) sur les sources de données pour le mappage.
8Actions permettant de modifier les paramètres et les mappages de module et d'annuler le déploiement des mappages de module.

Barre d'outils

Le tableau suivant décrit les actions de la barre d'outils.

                        
Icône/boutonDescription

Add.png

Ouvre la boîte de dialogue Créer des mappages dans laquelle vous pouvez créer un mappage ESA Analytics. Créez un mappage distinct pour chaque module.
Après avoir créé et consulté les mappages, vous pouvez les déployer.

Delete.png

Supprime un mappage ESA Analytics.

  • Vous pouvez supprimer un mappage dont l'état est Non déployé à tout moment. Étant donné qu'un mappage à l'état Non déployé n'est ni déployé, ni en cours d'exécution, il n'affecte pas l'agrégation des données.

  • La suppression d'un mappage déployé efface sa configuration sur le serveur ESA, annule le déploiement de ce mappage et arrête l'extraction des données à partir de la source de données pour ce module. Vous devez annuler le déploiement d'un mappage dont l'état est Non déployé avant de le supprimer.

Déployer maintenant

Une fois que vous avez créé vos mappages, vous devez les déployer afin de lancer l'agrégation des données pour les modules. Vous pouvez sélectionner un ou plusieurs mappages dont l'état est Non déployé pour les déployer.

Remarque : Si vous souhaitez apporter des modifications à un mappage déployé, par exemple en ajoutant ou en supprimant des Concentrators ou en modifiant le service, vous devez annuler le déploiement et supprimer le mappage existant, puis créer et déployer un nouveau mappage pour ce module.

Mappages ESA Analytics

Le tableau suivant décrit les mappages ESA Analytics répertoriés.

                                           
TitreDescription
Icône Sélectionner Pour sélectionner un mappage individuel, cochez la case située en regard du mappage.

État

Affiche l'état du mappage. Il existe deux états :

Non déployé - Un mappage non déployé mappe un module ESA Analytics aux sources et à un service ESA Analytics. Il ne démarre pas l'agrégation des données pour le module tant que le mappage n'est pas déployé.

Déployé - Un mappage déployé est déployé et en cours d'exécution. Dans un mappage déployé, le service ESA Analytics sélectionné utilise l'agrégation basée sur une requête pour collecter les événements filtrés appropriés pour le module sélectionné à partir des Concentrators.

Module

Indique le module ESA Analytics sélectionné. Un module ESA Analytics est un pipeline composé d'objets d'activité qui enrichissent un événement avec des informations supplémentaires via des calculs mathématiques. Le module réside dans les services ESA Analytics.

Sources

Les sources sont des sources de données (par exemple, des Concentrators) à partir desquelles ESA va agréger les données du module spécifié.

Service

Indique le service ESA Analytics qui traite les données du module spécifié. Le service sélectionné doit être synchronisé avec une source de temps cohérente.

Période d'initialisation (Heures)

Spécifie une durée d'initialisation (en heures). Une période d'initialisation est nécessaire pour permettre à la détection automatisée des menaces d'en savoir plus sur votre trafic. La période d'initialisation doit s'exécuter lorsqu'un trafic classique est en cours d'exécution. Pendant ce temps, l'alerte relative au mappage de module est supprimée. La période d'initialisation amorce le module avec les données historiques et garantit que le nombre spécifié d'heures de collecte de données est atteint avant l'envoi d'alertes.

RSA fournit des modules ESA Analytics préconfigurés. Chaque type de module dispose d'une période d'initialisation définie par défaut, que vous pouvez ajuster à votre environnement, si nécessaire. Au terme de cette période d'initialisation, les alertes peuvent être affichées.

Pour plus d'informations relatives à la période d'initialisation et au temps de latence, reportez-vous à la section Paramètres du module.

Temps de latence (Minutes)

Spécifie un délai constant, en minutes, qui est ajouté pour éviter de perdre des événements en cours de traitement par les sources de données pendant les périodes d'activité intense. Par exemple, les performances du Concentrator varient en fonction de facteurs tels que la charge entrante, les requêtes en continu et l'indexation. En raison de ces facteurs, un Concentrator peut ne pas agréger les événements en temps réel, ce qui entraîne un retard.

Le paramètre de latence donne au service Concentrator une chance de terminer l'agrégation de toutes les données.

Une fois la période d'initialisation terminée, l'agrégation des données se poursuit à l'Heure actuelle (système) - Temps de latence. Cela est utile lorsqu'un Concentrator tarde à agréger les données. Le temps de latence garantit que le module ne traite pas les données qui parviennent au Concentrator pendant la période de latence, et un retard suffisant assure que tous les événements générés dans l'entreprise peuvent être traités par le module.

Par exemple, si le temps de latence est de 30 minutes et que l'heure actuelle est 14h00, le Concentrator commencera à extraire les enregistrements à 13h30. La période de latence, 30 minutes dans cet exemple, reste constante. Lorsque l'heure actuelle passe à 14h01, le Concentrator extrait la minute de données suivante à 13h31, et ainsi de suite.

Important : Le temps de latence définit le décalage entre l'heure actuelle et l'heure à laquelle le module réceptionne les données.

Attention : RSA recommande aux administrateurs d'ajuster le paramètre de latence dynamiquement en fonction des performances de chaque Concentrator pour éviter de manquer des événements lors de l'agrégation.

Pour plus d'informations relatives à la période d'initialisation et au temps de latence, reportez-vous à la section Paramètres du module.

Icône Actions

Vous permet de sélectionner des actions supplémentaires pour le mappage de module sélectionné :

  • Modifier le module - Permet de configurer la période d'initialisation et le temps de latence pour le mappage de module sélectionné.

  • Déployer - Déploie le mappage de module sélectionné. Le service ESA Analytics spécifié commence à extraire les données issues des sources de données de ce module.

  • Annuler le déploiement - Annule le déploiement du mappage de module sélectionné. Le service ESA Analytics spécifié arrête d'extraire les données issues des sources de données de ce module.

Attention : L'annulation du déploiement d'un mappage dont l'état est Déployé a une incidence sur l'agrégation des données de ce module.

You are here
Table of Contents > Références  > Mappages ESA Analytics

Attachments

    Outcomes