ATD: Solución de problemas de Detección de amenazas automatizadas

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Detección de amenazas automatizadas de NetWitness Suite es un motor de analítica que examina los datos de HTTP. También utiliza otros componentes, como los servicios Whois y Context Hub, los cuales pueden agregar complejidad a la instalación. En este tema se proporcionan sugerencias para ayudarlo a detectar problemas si la implementación de Detección de amenazas automatizadas no proporciona los resultados previstos.

Posibles problemas

                                 
ProblemaCausas posiblesSoluciones
Veo demasiadas alertas (falsos positivos).Varias

Una causa posible es que el servicio Búsqueda de Whois presenta fallas o no está configurado. La búsqueda de Whois es útil para determinar si una URL es válida y, si la conexión falla o no está configurada correctamente, puede generar falsos positivos. Consulte el tema “Configurar el servicio Búsqueda de Whois” en la Guía de configuración de ESA.

  Puede ser necesario ingresar direcciones URL en la lista blanca. En ocasiones, el comportamiento legítimo de una URL activa una alerta. Una manera de evitarlo es agregar la URL a la lista blanca. Consulte el tema “Agregar una entidad a una lista blanca” de la Guía del usuario de NetWitness Respond.
No se ven las alertas.El host de ESA requiere un período de “preparación” cuando se implementa un mapeo del módulo ESA Analytics para Detección de amenazas automatizadas. Cuando implementa un mapeo del módulo ESA Analytics para Detección de amenazas automatizadas, hay un período de “preparación” durante el cual no se ven alertas. Cada tipo de módulo tiene un período de preparación predeterminado y usted debe esperar hasta que este período se complete. Para obtener más información, consulte el tema “Mapeo de orígenes de datos de ESA a módulos Analytics” de la Guía de configuración de ESA.
Veo problemas de rendimiento (más uso de recursos o una caída de rendimiento).VariasSi tiene problemas de rendimiento en un host de ESA que está ejecutando Detección de amenazas automatizadas (ESA Analytics) y reglas de ESA, siga los pasos de solución de problemas correspondientes a las reglas. Para obtener estos pasos de solución de problemas, vaya a “Solucionar problemas de ESA” en la Guía de alertas mediante ESA.
You are here
Table of Contents > Solución de problemas de Detección de amenazas automatizadas

Attachments

    Outcomes