Configuración de ESA: Pestaña Opciones avanzadas de la vista Configuración de servicios

Document created by RSA Information Design and Development on Apr 27, 2018
Version 1Show Document
  • View in full screen mode
 

La vista Configuración de servicios > pestaña Opciones avanzadas de un servicio de ESA permite configurar ajustes avanzados. En la vista Opciones avanzadas, puede configurar ajustes avanzados para mejorar el rendimiento, preservar eventos para reglas con múltiples eventos, colocar en el búfer eventos en la memoria y establecer la cantidad de eventos que se almacenarán en ESA.

Flujo de trabajo

En este flujo de trabajo se muestra el proceso general de configuración de ESA. También se muestra dónde se encuentra la configuración de ajustes avanzados en el proceso.

Muestra el flujo de trabajo de configuración de ESA y dónde se encuentra en el proceso: (Opcional) Configurar ajustes avanzados

ESA tiene dos servicios, el servicio Event Stream Analysis (ESA Correlation Rules) y el servicio Event Stream Analytics Server (ESA Analytics). Los primeros cuatro procedimientos que se muestran corresponden a la configuración del servicio Event Stream Analysis:

  • Agregar un origen de datos a un servicio de ESA
  • Configurar notificaciones
  • Descargar Live Content
  • (Opcional) Configurar ajustes avanzados

El último procedimiento es independiente del resto y corresponde a la creación de mapeos para los servicios de ESA Analytics de modo que comiencen automáticamente a detectar amenazas avanzadas:

  • (Opcional) Crear e implementar mapeos de ESA Analytics

¿Qué desea hacer?

                                 
Función Deseo…Mostrarme cómo
AdministradorAgregar un Concentrator como un origen de datos al servicio Event Stream Analysis

Consulte Configurar reglas de correlación de ESA y Paso 1. Agregar un origen de datos a un servicio de ESA

AdministradorConfigurar notificaciones

Consulte “Métodos de notificación” en la Guía de alertas mediante ESA.

AdministradorDescargar Live Content

Consulte “Vista Buscar en Live” en la Guía de administración de recursos de Live.

AdministradorConfigurar ajustes avanzados*

Paso 2. Configurar ajustes avanzados para un servicio de ESA

*Puede realizar estas tareas aquí (es decir, en la pestaña Opciones avanzadas de la vista Configuración de servicios).

Temas relacionados

  • Consulte “Agregar o actualizar un host” en la Guía de introducción de hosts y servicios.

Vista rápida

Para acceder a la pestaña Opciones avanzadas, vaya a ADMIN > Servicios > (seleccione un servicio de ESA) > > Ver > Configuración.

En la siguiente figura se muestra la pestaña Opciones avanzadas de la vista Configuración de servicios correspondiente a un servicio de ESA.

Pestaña Opciones avanzadas de la vista Configuración de servicios correspondiente a un servicio de ESA

Configuración del motor de alertas

La sección Motor de alertas permite especificar valores para conservar eventos para reglas que eligen varios eventos. La figura siguiente muestra la sección Motor de alertas.

Sección Motor de alertas

En la siguiente tabla se indican los parámetros de la sección Motor de alertas y sus descripciones.

                         
ParámetroDescripción
Máx. de eventos constitutivosPara reglas que escogen múltiples eventos, este valor de configuración decide cuántos eventos asociados se preservan. Por ejemplo, si una regla activa una alerta con 200 eventos asociados y este parámetro está configurado en 100, ESA solo conserva los primeros 100 y el resto se descarta. El valor predeterminado es 100.
¿Depurar reglas?La selección habilita la depuración de reglas.
Reenviar alertas en bus de mensajesPara reenviar alertas de ESA a NetWitness Respond, debe seleccionar esta opción. Las alertas de ESA generadas se enviarán al bus de mensajes y, posteriormente, a Respond. Esta es la opción predeterminada. Es posible que desee asegurarse de que el servicio Servidor de Respond esté en ejecución.
Cantidad máxima de alertas por segundo para una regla de prueba Puede especificar la cantidad máxima de alertas que se reenvían al bus de mensajes para la regla de prueba. Por ejemplo, si el valor está configurado en 50, solo se reenviarán 50 alertas al bus de mensajes para la regla de prueba. Si el valor se configura en 0, las alertas que genera la regla de prueba no se reenvían al bus de mensajes. El valor predeterminado es 10.

Configuración del motor de flujo de eventos

La sección Motor de flujo de eventos permite especificar detalles para mejorar el rendimiento. En la siguiente figura se muestra la sección Motor de flujo de eventos.

Sección Motor de flujo de eventos

En la siguiente tabla se indica el parámetro de la sección Motor de flujo de eventos y su descripción.

              
ParámetroDescripción
Máx. de subexpresiones de patrónCiertas reglas requieren que ESPER mantenga las subexpresiones en la memoria antes de decidir activarlas o no. Estas subexpresiones consumen memoria y si se dejan deseleccionadas podrían hacer que el servicio se interrumpo por agotamiento de la memoria. Este parámetro es una medida de seguridad que mantiene dichas reglas de monopolización de la memoria en supervisión. Si una regla excede la cantidad específica de subexpresiones, se retrasa su procesamiento. El valor predeterminado es 0, lo cual significa que esta configuración está inhabilitada. Debe configurar un valor si el servicio presenta problemas de estabilidad.
You are here
Table of Contents > Referencias > Pestaña Opciones avanzadas de la vista Configuración de servicios

Attachments

    Outcomes