Configuración de ESA: Configurar ESA Analytics

Document created by RSA Information Design and Development on Apr 27, 2018
Version 1Show Document
  • View in full screen mode
 

En esta sección se proporcionan tareas generales para configurar los servicios ESA Analytics para Detección de amenazas automatizadas de RSA NetWitness® Suite. La funcionalidad Detección de amenazas automatizadas permite analizar los datos que residen en uno o más Concentrators mediante módulos ESA Analytics preconfigurados, como Suspicious Domains. Por ejemplo, con el uso de un módulo Suspicious Domains, un servicio ESA Analytics puede examinar el tráfico HTTP para determinar la probabilidad de que exista actividad maliciosa en el ambiente.

Hay dos servicios de ESA que se pueden ejecutar en un host de ESA:

  • Event Stream Analysis (ESA Correlation Rules)
  • Event Stream Analytics Server (ESA Analytics)

El primer servicio es Event Stream Analysis, un servicio que crea alertas a partir de reglas de ESA, también conocido como ESA Correlation Rules, las cuales se crean manualmente o se descargan desde Live. El segundo servicio es ESA Analytics, un servicio que se utiliza para Detección de amenazas automatizadas y se configura en esta sección. Debido a que el servicio ESA Analytics utiliza módulos preconfigurados de ESA Analytics para Detección de amenazas automatizadas, no es necesario crear ni descargar reglas para usarlo.

Actualmente hay dos módulos ESA Analytics disponibles para Suspicious Domains:

  • C2 para paquetes (http-packet)
  • C2 for Logs (http-log)
You are here
Table of Contents > Configurar ESA Analytics

Attachments

    Outcomes