Configuración de ESA: Descripción general de Event Stream Analysis

Document created by RSA Information Design and Development on Apr 27, 2018
Version 1Show Document
  • View in full screen mode
 

RSA NetWitness® Suite Event Stream Analysis (ESA) proporciona analítica de flujo avanzada, como correlación y procesamiento de eventos complejos, a alto rendimiento y baja latencia. Puede procesar grandes volúmenes de datos de eventos dispares que provienen de Concentrators.

El lenguaje de procesamiento de eventos avanzado de ESA permite expresar filtrado, agregación, combinaciones, reconocimiento de patrones y correlación en múltiples flujos de eventos dispares. Event Stream Analysis ayuda a realizar detección de incidentes y alertas eficaces.

En el siguiente diagrama se muestra el flujo de trabajo de datos general:


Diagrama de flujo de datos de alertas general

Hay dos servicios de ESA que se pueden ejecutar en un host de ESA:

  • Event Stream Analysis (ESA Correlation Rules)
  • Event Stream Analytics Server (ESA Analytics)

El primer servicio es Event Stream Analysis, un servicio que crea alertas a partir de reglas de ESA, también conocido como ESA Correlation Rules, las cuales se crean manualmente o se descargan desde Live. El segundo servicio es ESA Analytics, un servicio que se utiliza para Detección de amenazas automatizadas. Debido a que el servicio ESA Analytics utiliza módulos preconfigurados de ESA Analytics para Detección de amenazas automatizadas, no es necesario crear ni descargar reglas para usarlo.

Los servicios ESA Analytics utilizan agregación basada en consultas (QBA) para recopilar eventos filtrados para los módulos ESA Analytics desde Concentrators. Solo los datos que requiere un módulo se transfieren entre el Concentrator y el sistema ESA Analytics. Por ejemplo, con el uso de un módulo Suspicious Domains ESA Analytics, como C2 para paquetes (http-packet), un servicio ESA Analytics puede examinar el tráfico HTTP para determinar la probabilidad de que exista actividad maliciosa en el ambiente.

You are here
Table of Contents > Descripción general de Event Stream Analysis

Attachments

    Outcomes