Configuración de ESA: Mapeos de ESA Analytics

Document created by RSA Information Design and Development on Apr 27, 2018
Version 1Show Document
  • View in full screen mode
 

El panel Mapeos de ESA Analytics (ADMIN > Sistema > ESA Analytics) permite definir la manera en que la funcionalidad Detección de amenazas automatizadas de RSA debe detectar automáticamente las amenazas avanzadas. Puede analizar los datos que residen en uno o más Concentrators mediante la selección de un módulo ESA Analytics preconfigurado.

Para usar mejor sus recursos de red y reducir el flujo de datos innecesario, puede mapear múltiples orígenes de datos, como Concentrators, a servicios ESA Analytics disponibles con el fin de procesar los datos de manera más eficiente y aprovechar la capacidad adicional.

Flujo de trabajo

En este flujo de trabajo se muestra el proceso de creación y habilitación de un mapeo de ESA Analytics de modo que comience a detectar automáticamente las amenazas avanzadas.

Antes de crear un mapeo de ESA Analytics, asegúrese de que los hosts y los servicios de ESA que desea usar para los mapeos estén en línea y disponibles. Todos los servicios deben estar sincronizados con un origen de tiempo coherente. Asegúrese también de que los Concentrators estén recopilando los datos requeridos. Cuando crea un mapeo de ESA Analytics, usted selecciona un módulo ESA Analytics para realizar el mapeo, como Suspicious Domains. A continuación, selecciona los orígenes de datos, como Concentrators, que se usarán para ese módulo junto con un servicio de ESA Analytics para procesar los datos. Cuando está listo para comenzar a agregar los datos, usted implementa el mapeo. Los analistas pueden ver las amenazas detectadas para ese módulo en la vista Respond.

¿Qué desea hacer?

                                      
Función Deseo…Mostrarme cómo
Administrador

Verificar que los hosts y los servicios de ESA estén en línea y disponibles.

ADMIN > HOSTS y ADMIN > SERVICIOS
Consulte Guía de introducción de hosts y servicios.

Administrador

Asegurarse de que los Concentrators estén recopilando los datos requeridos.

Consulte Guía de configuración de Broker y Concentrator.

AdministradorCrear mapeos de ESA Analytics*

Mapeo de orígenes de datos de ESA a módulos Analytics

AdministradorImplementar mapeos de ESA Analytics*Mapeo de orígenes de datos de ESA a módulos Analytics
Administrador,
analista
Ver las amenazas detectadas

Consulte la Guía del usuario de NetWitness Respond.

*Puede realizar estas tareas aquí (es decir, en el panel Mapeos de ESA Analytics).

Temas relacionados

Vista rápida

En el siguiente ejemplo se ilustra un mapeo de ESA Analytics. La configuración define los orígenes de datos para el módulo seleccionado y el servicio ESA Analytics que procesará los eventos de esos orígenes de datos.

Diagrama de mapeos de ESA Analytics

                                     
1Muestra el panel Mapeos de ESA Analytics.
2Muestra el estado del mapeo de ESA Analytics.
3El nombre del módulo que se mapea.
4Orígenes de datos, como Concentrators, asignados al mapeo.
5El servicio ESA Analytics que procesa los datos del mapeo.
6Configuración del período de preparación (en horas) en los orígenes de datos para el mapeo.
7El intervalo de retardo (en minutos) en los orígenes de datos del mapeo.
8Acciones para cambiar la configuración del módulo, implementar mapeos del módulo y anular la implementación de mapeos del módulo.

Barra de herramientas

En la siguiente tabla se describen las acciones de la barra de herramientas.

                        
Icono/botónDescripción

Add.png

Abre el cuadro de diálogo Crear mapeos, el cual permite crear un mapeo de ESA Analytics. Cree un mapeo por separado para cada módulo.
Implemente los mapeos después de crearlos y revisarlos.

Delete.png

Elimina un mapeo de ESA Analytics.

  • Puede eliminar un mapeo con un estado de Implementación anulada en cualquier momento. Puesto que un mapeo en el estado Implementación anulada no está implementado y no se está ejecutando, no afecta la agregación de datos.

  • La eliminación de un mapeo implementado borra la configuración en el servidor de ESA, revierte la implementación para ese mapeo y detiene la extracción de datos del origen de datos para ese módulo. Debe anular la implementación de un mapeo con un estado de Implementado antes de eliminarlo.

Implementar ahora

Después de crear los mapeos, debe implementarlos para iniciar la agregación de datos para los módulos. Puede seleccionar uno o más mapeos con un estado de Implementación anulada para implementarlos.

Nota: Si desea realizar cambios en un mapeo implementado, como agregar o quitar Concentrators o cambiar el servicio, debe anular la implementación y eliminar el mapeo existente y, a continuación, crear e implementar un nuevo mapeo para ese módulo.

Mapeos de ESA Analytics

En la siguiente tabla se describen los mapeos de ESA Analytics enumerados.

                                           
TítuloDescripción
Ícono Seleccionar Para seleccionar un mapeo individual, seleccione la casilla de verificación junto al mapeo.

Estado

Muestra el estado del mapeo. Hay dos estados:

No implementado: Un mapeo no implementado mapea un módulo ESA Analytics a orígenes y a un servicio ESA Analytics. No inicia la agregación de datos para el módulo hasta que el mapeo se implementa.

Implementado: Un mapeo implementado está implementado y en ejecución. En un mapeo implementado, el servicio ESA Analytics seleccionado usa agregación basada en consultas para recopilar los eventos filtrados adecuados para el módulo seleccionado desde los Concentrators.

Módulo

Indica el módulo ESA Analytics seleccionado. Un módulo ESA Analytics es una canalización que consta de objetos de actividad que enriquecen un evento con información adicional a través de cálculos matemáticos. El módulo reside dentro del servicio ESA Analytics.

Orígenes

Los orígenes son los orígenes de datos, como Concentrators, desde los cuales ESA agregará los datos del módulo especificado.

Servicio

Indica el servicio ESA Analytics que procesará los datos del módulo especificado. El servicio seleccionado debe estar sincronizado con un origen de tiempo coherente.

Período de preparación (horas)

Especifica una duración de preparación (en horas). Se requiere un período de preparación para permitir que Detección de amenazas automatizadas “conozca” su tráfico. El período de preparación se debe ejecutar cuando se esté ejecutando el tráfico típico. Durante este tiempo, se suprimen las alertas para el mapeo de módulo. El período de preparación prepara el módulo con datos históricos y garantiza que se complete la cantidad especificada de horas de recopilación de datos antes de que se envíen alertas.

RSA proporciona módulos ESA Analytics preconfigurados. Cada tipo de módulo tiene un período de preparación predeterminado, que puede ajustar a su ambiente, si es necesario. Después de este período de preparación, se pueden ver las alertas.

Para obtener más información sobre el período de preparación y el tiempo de retardo, consulte Configuración del módulo.

Tiempo de retardo (minutos)

Especifica el retraso de tiempo constante en minutos, el cual se suma para evitar la pérdida de eventos que los orígenes de datos procesan durante períodos de gran actividad. Por ejemplo, el rendimiento del Concentrator varía en función de factores como carga entrante, consultas continuas e indexación. Debido a estos factores, es posible que un Concentrator no pueda agregar eventos en tiempo real, lo que genera el retraso.

El parámetro Retardo da al Concentrator la oportunidad de terminar de agregar todos los datos.

Después de que finaliza el período de preparación, la agregación de datos continúa en Hora (del sistema) actual - Tiempo de retardo. Esto es útil cuando la agregación de datos en un Concentrator se realiza con lentitud. El tiempo de retardo garantiza que el módulo no procese los datos que llegan al Concentrator dentro de la ventana de tiempo de retardo, de modo que haya un retraso adecuado para asegurar que el módulo pueda procesar todos los eventos que se generan en la empresa.

Por ejemplo, si el tiempo de retardo es 30 minutos y actualmente son las 14:00 h, el Concentrator comienza a extraer registros a las 13:30 h. La ventana de tiempo de retardo, 30 minutos en este ejemplo, permanece constante a medida que avanza la hora. Cuando la hora actual avanza hasta las 14:01 h, el Concentrator extrae los datos al minuto siguiente, a las 13:31 h, etc.

Importante: El tiempo de retardo define el búfer entre la hora actual y la hora en que el módulo recopila los datos.

Precaución: RSA recomienda que los administradores ajusten el parámetro Retardo de forma dinámica en función del rendimiento de cada uno de los Concentrators individuales para evitar la pérdida de eventos durante la agregación.

Para obtener más información sobre el período de preparación y el tiempo de retardo, consulte Configuración del módulo.

Ícono Acciones

Permite seleccionar acciones adicionales para el mapeo del módulo seleccionado:

  • Editar módulo: Permite configurar el período de preparación y el tiempo de retardo para el mapeo del módulo seleccionado.

  • Implementar: Implementa el mapeo del módulo seleccionado. El servicio ESA Analytics especificado comienza a extraer datos de los orígenes de datos para ese módulo.

  • Anular implementación: Anula la implementación del mapeo del módulo seleccionado. El servicio ESA Analytics especificado deja de extraer datos de los orígenes de datos para ese módulo.

Precaución: Anular la implementación de un mapeo con un estado de Implementado afectará la agregación de datos para ese módulo.

You are here
Table of Contents > Referencias > Mapeos de ESA Analytics

Attachments

    Outcomes