Configuración de ESA: Configuración del módulo

Document created by RSA Information Design and Development on Apr 27, 2018
Version 1Show Document
  • View in full screen mode
 

Después de crear o implementar el mapeo de un módulo en el panel Mapeos de ESA Analytics (ADMIN > Sistema > ESA Analytics), tiene la opción de cambiar algunas configuraciones del módulo para ese mapeo.

¿Qué desea hacer?

                            
Función Deseo…Mostrarme cómo
Administrador

Cambiar el período de preparación de un mapeo de módulo no implementado.

Cambiar el período de preparación y el tiempo de retardo

Administrador

Cambiar el período de preparación de un mapeo de módulo durante el período de preparación.

Cambiar el período de preparación y el tiempo de retardo

Administrador

Cambiar el período de preparación de un mapeo de módulo una vez completo el período de preparación.

Cambiar el período de preparación y el tiempo de retardo

Temas relacionados

Configuración del módulo

Para acceder a la configuración del módulo, en el panel Mapeos de ESA Analytics, seleccione el mapeo que desea cambiar y, en la columna Acciones, Ícono Acciones > Editar módulo. El cuadro de diálogo Configuración del módulo tiene una sección Configuraciones y una sección Estado de preparación.

Cuadro de diálogo Configuración del módulo

Configuraciones

La sección Configuraciones permite modificar los ajustes de Período de preparación y Tiempo de retardo.

En la siguiente tabla se describe la configuración disponible para el mapeo de un módulo ESA Analytics.

                               
CampoDescripción

Módulo

Muestra el nombre del módulo mapeado.

Servicio

Muestra el servicio ESA Analytics que procesa los datos del mapeo.

Orígenes

Muestra los orígenes de datos mapeados y las direcciones URL que se usan para comunicarse con ESA.

Período de preparación (horas)

Especifica una duración de la preparación en horas. Se requiere un período de preparación para permitir que Detección de amenazas automatizadas “conozca” su tráfico. El período de preparación se debe ejecutar cuando se esté ejecutando el tráfico típico. Durante este tiempo, se suprimen las alertas para el mapeo de módulo. El período de preparación prepara el módulo con datos históricos y garantiza que se complete la cantidad especificada de horas de recopilación de datos antes de que se envíen alertas.

RSA proporciona módulos ESA Analytics preconfigurados. Cada tipo de módulo tiene un período de preparación predeterminado, que puede ajustar a su ambiente, si es necesario. Después de este período de preparación, se pueden ver las alertas.

Puede actualizar el Período de preparación del mapeo de un módulo implementado en función de si este se completó o no:

  • Durante el período de preparación: Puede agregar horas al período de preparación o restar cualquier tiempo de preparación restante.

  • El período de preparación se completó: Puede agregar horas al período de preparación mediante la suma de la diferencia entre la hora actual y la Hora del primer evento a las horas que desea agregar.
    Por ejemplo, un período de preparación de 10 horas se completó y en la opción Hora del primer evento se muestra 12:00:00. La hora actual (sistema) son las 16:00:00 (4 horas después) y desea agregar 5 horas más al tiempo de preparación. Para hacerlo, debe agregar 9 horas (4+5=9) al período de preparación de 10 horas; por lo tanto, debe configurar el nuevo período de preparación en 19 horas.
    No puede disminuir el período de preparación si se completó, a menos que elimine el mapeo y cree uno nuevo.

El valor de Período de preparación es específico de un mapeo determinado y se aplica a todos los Concentrators dentro de ese mapeo después de su implementación. Si dos módulos con distintos tiempos de preparación comparten un Concentrator, este utiliza valores de Período de preparación por separado para el mapeo de cada módulo.

Tiempo de retardo (minutos)

Especifica el retraso de tiempo constante en minutos, el cual se suma para evitar la pérdida de eventos que los orígenes de datos procesan durante períodos de gran actividad. Por ejemplo, el rendimiento del Concentrator varía en función de factores como carga entrante, consultas continuas e indexación. Debido a estos factores, es posible que un Concentrator no pueda agregar eventos en tiempo real, lo que genera el retraso.

El parámetro Retardo da al Concentrator la oportunidad de terminar de agregar todos los datos. Cuando se especifica un tiempo de retardo, la primera vez que se implementa el módulo, la agregación de datos comienza en Hora (del sistema) actual - Tiempo de retardo - Tiempo de preparación. Por ejemplo, si actualmente son las 14:00 h, el tiempo de retardo es 30 minutos y el tiempo de preparación es 4 horas, cuando el módulo se implementa por primera vez, la recopilación de datos se inicia a las 9:30 h (14:00 h - 0.5 horas - 4 horas).

Después de que finaliza el período de preparación, la agregación de datos continúa en Hora (del sistema) actual - Tiempo de retardo. Esto es útil cuando la agregación de datos en un Concentrator se realiza con lentitud. El tiempo de retardo garantiza que el módulo no procese los datos que llegan al Concentrator dentro de la ventana de tiempo de retardo, de modo que haya un retraso adecuado para asegurar que el módulo pueda procesar todos los eventos que se generan en la empresa.

Por ejemplo, si el tiempo de retardo es 30 minutos y actualmente son las 14:00 h, el Concentrator comienza a extraer registros a las 13:30 h. La ventana de tiempo de retardo, 30 minutos en este ejemplo, permanece constante a medida que avanza la hora. Cuando la hora actual avanza hasta las 14:01 h, el Concentrator extrae los datos al minuto siguiente, a las 13:31 h, etc.

Importante: El tiempo de retardo define el búfer entre la hora actual y la hora en que el módulo recopila los datos.

El valor de Tiempo de retardo es específico de un mapeo determinado y se aplica a todos los Concentrators dentro de ese mapeo después de su implementación. Si dos módulos con distintos tiempos de retardo comparten un Concentrator, este utiliza valores de retardo por separado para el mapeo de cada módulo.

Precaución: RSA recomienda que los administradores ajusten el parámetro Retardo de forma dinámica en función del rendimiento de cada uno de los Concentrators individuales para evitar la pérdida de eventos durante la agregación.

Para determinar el tiempo de retardo correcto, sume lo siguiente con el fin de obtener el tiempo de retardo de un ambiente:

1. Latencia de registros o paquetes: Este es el tiempo que tarda el Log Decoder en recibir los registros o el (Packet) Decoder en recibir los paquetes. Por ejemplo, el Log Decoder puede recibir registros cada 20 minutos. En este caso, tal vez desee configurar Tiempo de retardo en 20 minutos como mínimo, de preferencia 25 minutos, de modo que no se pierdan eventos.

2. Latencia de agregación: Este es el tiempo que tarda la transmisión de datos desde el Log Decoder al Concentrator.

3. Otro búfer: Sume cualquier retraso de tiempo adicional específico del ambiente.

Estado de preparación

En la sección Estado de preparación se proporciona información acerca del estado de preparación, la que puede usar para determinar los ajustes adecuados al período de preparación.

                               
CampoDescripción

La preparación se inició a las

La hora en que el módulo ESA Analytics procesó el primer evento desde el origen de datos.

Hora del primer evento

La hora a la que ocurrió el primer evento. El tiempo de preparación se basa en esta hora.

Hora del último evento

La hora a la que ocurrió el último evento.

Tiempo de preparación restante

La cantidad de horas restantes en el período de preparación.

¿Se completó?

Indica si el período de preparación se completó. Si es verdadero, el período de preparación se completó. Si es falso, el módulo aún se está preparando y la cantidad de horas restantes se puede ver en el campo Tiempo de preparación restante.

 

You are here
Table of Contents > Referencias > Configuración del módulo

Attachments

    Outcomes