Maintenance sys : Stratégies prédéfinies Security Analytics

Document created by RSA Information Design and Development on Apr 26, 2018Last modified by RSA Information Design and Development on May 2, 2018
Version 2Show Document
  • View in full screen mode
 

Le tableau suivant répertorie les stratégies prédéfinies NetWitness Suite avec les règles définies pour chaque stratégie.

Cet onglet vous permet d'effectuer les tâches suivantes sur ces stratégies :

  • Modifier les attributions de services/groupes.
  • Les désactiver/activer.

Vous ne pouvez effectuer aucune des tâches suivantes sur ces stratégies :

  • Les supprimer.
  • Modifier les noms des stratégies.

Remarque : Des informations supplémentaires sur les règles prêtes à l'emploi figurent dans l'interface utilisateur sous
Intégrité – Règles. 

                                                                                                                                                                                                                                                                                                                                                                                         
Nom de la règleNom de la règleAlarme déclenchée
 Échec de la communication entre l'hôte Security Analytics maître et un hôte distant.L'hôte est arrêté, le réseau est arrêté, le Message Broker est arrêté, ou bien des certificats de sécurité ont été non valides ou manquants pendant 10 minutes ou plus.
Serveur NetWitness Règle de surveillance Utilisation critique sur le système de fichiers du Broker de messages RabbitmqPour var/lib/rabbitmq, l'utilisation totale du disque du système de fichiers monté dépasse 75 %.
Le système de fichiers est plein.L'utilisation totale du disque du système de fichiers monté atteint 100 %.
Utilisation élevée du système de fichiersL'utilisation totale du disque du système de fichiers monté dépasse 95 %.
Utilisation élevée de la permutation systèmeL'utilisation de la permutation passe sous la barre des 5 % pendant 5 minutes ou plus.
Utilisation élevée sur le système de fichiers du Broker de messages RabbitmqL'utilisation totale du disque du système de fichiers pour var/lib/rabbitmq dépasse 60 %.
L'hôte n'est pas accessibleL'hôte est en panne.
État Liaisons d'échange de processeur d'événements LogCollectorProblème avec les files d'attente de Broker de message de collecte de logs pendant 10 minutes ou plus.
File d'attente de processeur d'événements LogCollector sans liaisonProblème avec les files d'attente de Broker de message de collecte de logs pendant 10 minutes ou plus.
File d'attente de processeur d'événements LogCollector sans utilisateurProblème avec les files d'attente de Broker de message de collecte de logs pendant 10 minutes ou plus.
Power Supply FailureL'hôte n'est pas alimenté
Le disque logique RAID est dégradéPour le disque logique RAID, l'état du disque logique est Dégradé ou Partiellement dégradé.
Défaillance du disque logique RAIDPour le disque logique Raid, l'état du lecteur est Hors ligne, En échec ou Inconnu.
Reconstruction du disque logique RAIDPour le disque logique RAID, le disque logique est en Reconstruction.
Défaillance du disque physique RAIDPour le disque physique RAID, l'état du disque physique n'est pas En ligne, Étendu en ligne ou Disque de secours.
Défaillance prévue du disque physique RAIDPour le disque physique RAID, le nombre de défaillances prévues pour le disque physique est supérieur à 1.
Reconstruction du disque physique RAIDPour le disque physique RAID,
le disque physique est en Reconstruction.
Disque physique RAID non configuréPour le disque physique RAID,
le disque physique comprend Unconfigured(good).
Défaillance de la carte SDL'état de la carte SD n'est pas OK.
Règle de surveillance NetWitness Suite Archiver
Arrêt de l'agrégation ArchiverArchiver n'est pas à l'état de démarrage.
La ou les bases de données Archiver ne sont pas ouvertesLa base de données n'est pas à l'état d'ouverture.
Archiver ne consomme pas de données du serviceLes périphériques ne sont pas à l'état d'utilisation.
Le service Archiver est en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Arrêt du service ArchiverLe serveur n'est pas à l'état de démarrage.
NetWitness Suite Stratégie de surveillance Broker Broker >5 requêtes en attenteRequêtes en attente supérieures ou égales à 5 pendant au moins 10 minutes.
Arrêt de l'agrégation BrokerLe Broker n'est pas à l'état de démarrage.
Broker ne consomme pas de données du serviceLes périphériques ne sont pas à l'état d'utilisation.
Le service Broker est en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Arrêt du service BrokerLe serveur n'est pas à l'état de démarrage.
Débit de session Broker équivalent à zéroLe taux de session (actuel) est de 0 pendant au moins 2 minutes.
NetWitness Suite
Stratégie de surveillance Concentrator

 
 
 
 
Concentrator >5 requêtes en attenteRequêtes en attente supérieures ou égales à 5 pendant au moins 10 minutes.
Valeur Behind d'agrégation Concentrator >100 000 sessionsRequêtes en attente supérieures ou égales à 100 000 pendant au moins 1 minute ou plus.
Valeur Behind d'agrégation Concentrator >1 000 000 sessionsRequêtes en attente supérieures ou égales à 1 000 000 pendant au moins 1 minute.
Valeur Behind d'agrégation Concentrator >50 000 000 sessionsRequêtes en attente supérieures ou égales à 50 000 000 pendant au moins 1 minute.
Arrêt de l'agrégation ConcentratorLe Broker n'est pas à l'état de démarrage.
La ou les bases de données Concentrator ne sont pas ouvertesLa base de données n'est pas à l'état d'ouverture.
Taux méta du Concentrator équivalent à zéroTaux méta du Concentrator (actuel) est de 0 pendant au moins 2 minutes.
Concentrator ne consomme pas de données du serviceLes périphériques ne sont pas à l'état d'utilisation.
Le service Concentrator est en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Arrêt du service ConcentratorLe serveur n'est pas à l'état de démarrage.
Stratégie de surveillance NetWitness Suite Decoder
La capture de Decoder n'a pas commencéLa capture n'est pas à l'état de démarrage.
Taux de capture du Decoder équivalent à zéroLe taux de capture (actuel) est de 0 pendant au moins 2 minutes.
Base de données Decoder non ouverteLa base de données n'est pas à l'état d'ouverture.
Interruption Decoder >1 % de paquetsLe pourcentage de paquets capturés interrompus (actuel) est supérieur ou égal à 1 %.
Interruption Decoder >10 % de paquetsLe pourcentage de paquets capturés interrompus (actuel) est supérieur ou égal à 10 %.
Interruption Decoder >5 % de paquetsLe pourcentage de paquets capturés interrompus (actuel) est supérieur ou égal à 5 %.
Pool de capture de paquets Decoder épuiséLa file d'attente des captures de paquets est égale à 0 pendant au moins 2 minutes.
Le service Decoder est en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Service Decoder arrêtéLe serveur n'est pas à l'état de démarrage.
NetWitness SuiteStratégie de surveillance
Event Steam Analysis

 
 
 
 
Utilisation de la mémoire totale par ESA > 85 %Le pourcentage d'utilisation de la mémoire totale par ESA est supérieur ou égal à 85 %.
Utilisation de la mémoire totale par ESA > 95 %Le pourcentage d'utilisation de la mémoire totale par ESA est supérieur ou égal à 95 %.
Service ESA arrêtéLe serveur n'est pas à l'état de démarrage.
Règles d'évaluation ESA désactivéesL'état des règles d'évaluation n'est pas activé.
Stratégie de surveillance NetWitness Suite IPDB Extractor


Le service IPDB Extractor est en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Service IPDB Extractor arrêtéLe serveur n'est pas à l'état de démarrage.
Stratégie de surveillance NetWitness Suite Incident Management

Service Incident Management arrêtéLe serveur n'est pas à l'état de démarrage.
Stratégie de surveillance NetWitness Suite Log Collector

Arrêt du service Log CollectorLe serveur n'est pas à l'état de démarrage.
File d'attente d'événements Log Decoder > Saturée à 50%Le nombre d'événements actuellement dans la file d'attente utilise 50 % ou plus de la file d'attente.
File d'attente d'événements Log Decoder > Saturée à 80%Le nombre d'événements actuellement dans la file d'attente utilise 80 % ou plus de la file d'attente.
Service Log Collector en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Stratégie de surveillance NetWitness Suite Log Decoder

Interruption Decoder >10 % de paquetsLe pourcentage de paquets capturés interrompus (actuel) est supérieur ou égal à 10 %
La capture de Logs n'a pas commencéLa capture n'est pas à l'état de démarrage.
Taux de capture du Log Decoder équivalent à zéroLe taux de capture (actuel) est de 0 pendant au moins 2 minutes.
Base de données Log Decoder non ouverteLa base de données n'est pas à l'état d'ouverture.
Suppression Log Decoder >1 % des logsLe pourcentage de paquets capturés interrompus (actuel) est supérieur ou égal à 1 %.
Suppression Log Decoder >5 % des logsLe pourcentage de paquets capturés interrompus (actuel) est supérieur ou égal à 5 %.
Pool de capture de paquets Log Decoder épuiséLa file d'attente des captures de paquets est égale à 0 pendant au moins 2 minutes.
Arrêt du service Log DecoderLe serveur n'est pas à l'état de démarrage.
Service Log Decoder en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
NetWitness Suite Stratégie de surveillance
Malware
Analysis
Arrêt du service Malware AnalysisLe serveur n'est pas à l'état de démarrage.
NetWitness Suite Stratégie de surveillance
Reporting Engine
Utilisation critique des alertes Reporting EngineUtilisation des alertes supérieure ou égale à 10 pendant au moins 5 minutes.
Disque disponible Reporting Engine <10 %L'espace disque disponible est inférieur à 10 %. 
Disque disponible Reporting Engine <5 %L'espace disque disponible est inférieur ou égal à 5 %. 
Utilisation critique des graphiques Reporting EngineUtilisation des graphiques supérieure ou égale à 10 pendant au moins 5 minutes.
Utilisation critique des règles Reporting EngineUtilisation des règles supérieure ou égale à 10 pendant au moins 5 minutes.
Utilisation critique du pool de tâches planifiées Reporting EngineUtilisation du pool de tâches planifiées supérieure ou égale à 10 pendant au moins 15 minutes.
Arrêt du service Reporting EngineLe serveur n'est pas à l'état de démarrage.
Utilisation critique des tâches partagées Reporting EngineUtilisation du pool de tâches partagées supérieure ou égale à 10 pendant au moins 5 minutes.
NetWitness Suite Stratégie de surveillance
Warehouse
Connector
Service Warehouse Connector en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Service Warehouse Connector arrêtéLe serveur n'est pas à l'état de démarrage.
Flux Behind Warehouse ConnectorLe flux Behind est supérieur ou égal à 2 000 000.
Utilisation du disque de flux Warehouse Connector > 75 %L'utilisation de disque de flux (charge de destination en attente) est supérieure ou égale à 75.
Flux Warehouse Connector en mauvais étatL'état des flux n'équivaut pas à la valeur Consommation ou En ligne pendant 10 minutes ou plus.
Le stream Warehouse Connector a rejeté de manière permanente > 300 fichiersLe nombre de fichiers dans les fichiers rejetés de manière permanente est supérieur ou égal à 300.
Le flux Warehouse Connector a rejeté le dossier de manière permanente > 75 % completL'utilisation de dossier rejeté est supérieure ou égale à 75 %.
NetWitness Suite Stratégie de surveillance Workbench Le service Workbench est en mauvais étatLe service n'est pas à l'état de démarrage ou Prêt.
Service Workbench arrêtéLe serveur n'est pas à l'état de démarrage.
You are here
Table of Contents > Références > Intégrité > Vue Stratégies > Stratégies prédéfinies NetWitness

Attachments

    Outcomes