Mantenimiento del sistema: Políticas de uso inmediato de Security Analytics

Document created by RSA Information Design and Development on May 2, 2018Last modified by RSA Information Design and Development on May 3, 2018
Version 5Show Document
  • View in full screen mode
 

En la siguiente tabla se enumeran las políticas de uso inmediato de NetWitness Suite con las reglas definidas para cada política.

Puede realizar las siguientes tareas en cualquiera de estas políticas:

  • Cambiar asignaciones de servicios/grupos.
  • Habilitarlas/inhabilitarlas.

No puede realizar las siguientes tareas en ninguna de estas políticas:

  • Eliminarlas.
  • Editar nombres de política.

Nota: Encontrará información adicional acerca de las políticas de uso inmediato en la interfaz del usuario en
Estado y condición: Políticas. 

                                                                                                                                                                                                                                                                                                                                                                                         
Nombre de la políticaNombre de la reglaAlarma activada
 Falla de comunicación entre el host Security Analytics maestro y un host remotoEl host está inactivo, la red está caída, el intermediador de mensajes está inactivo o no es válido,
o faltan certificados de seguridad durante 10 minutos o más.
Política de monitoreo de Servidor de NetWitness Uso crítico en sistema de archivos de intermediador de mensajes de RabbitmqFor var/lib/rabbitmq, el uso de disco del sistema de archivos montado supera el 75 %.
El sistema de archivos está llenoEl uso de disco total del sistema de archivos montado alcanza el 100 %.
Alto uso del sistema de archivosEl uso de disco total del sistema de archivos montado supera el 95 %.
Alta utilización del intercambio del sistemaLa utilización del intercambio es inferior al 5 % durante cinco minutos o más.
Alto uso en sistema de archivos de intermediador de mensajes de RabbitmqEl uso de disco del sistema de archivos montado para var/lib/rabbitmq supera el 60 %.
El host está inaccesibleEl host está inactivo.
Estado de vinculación en Exchange del procesador de eventos de LogCollectorEmisión con líneas de espera del intermediador de mensaje de recopilación de registros durante 10 minutos o más.
Línea de espera del procesador de eventos de LogCollector sin vinculacionesEmisión con líneas de espera del intermediador de mensaje de recopilación de registros durante 10 minutos o más.
Línea de espera del procesador de eventos de LogCollector sin consumidoresEmisión con líneas de espera del intermediador de mensaje de recopilación de registros durante 10 minutos o más.
falla en la fuente de alimentaciónEl host no recibe alimentación.
Unidad lógica RAID degradadaPara la unidad lógica RAID, Estado de unidad es igual a Degradado o Parcialmente degradado.
Unidad lógica RAID fallidaPara la unidad lógica RAID, Estado de unidad lógica es igual a Offline, Falla o Desconocido.
Reconstrucción de unidad lógica RAIDPara la unidad lógica RAID, Estado de unidad lógica es igual a Reconstruir.
Unidad física RAID fallidaPara la unidad física RAID, Estado de unidad física no es igual a En línea, Activado en línea o Hot spare.
Falla predictiva de unidad física RAIDPara la unidad física RAID, el conteo de la falla predictiva de la unidad física es mayor que uno.
Reconstrucción de unidad física RAIDPara la unidad física RAID, Estado de
unidad física es igual a Reconstruir.
Unidad física RAID no configuradaPara la unidad física RAID, Estado de
unidad física contiene No configurado (en buen estado).
Falla de tarjeta SDEstado de tarjeta SD no es igual a En buen estado.
Política de monitoreo
de NetWitness Suite Archiver
Agregación de Archiver detenidaEstado de Archiver no es igual a Iniciado.
Las bases de datos de Archiver no están abiertasEstado de base de datos no es igual a Abierto.
Archiver no consume desde servicioEstado de dispositivo no es igual a Consumiendo.
Servicio Archiver en estado incorrectoEstado del servicio no es igual a Iniciado o Listo.
Servicio Archiver detenidoEstado del servidor no es igual a Iniciado.
Política de monitoreo de NetWitness Suite Broker Broker tiene más de cinco consultas pendientesConsultas pendientes es mayor o igual a cinco durante 10 minutos o más.
Agregación de Broker detenidaEstado de Broker no es igual a Iniciado.
Broker no consume desde servicioEstado de dispositivo no es igual a Consumiendo.
Servicio Broker en estado incorrectoEstado del servicio no es igual a Iniciado o Listo.
Servicio Broker detenidoEstado del servidor no es igual a Iniciado.
La tasa de sesiones de Broker es ceroTasa de sesiones (actual) es igual a cero durante dos minutos o más.
Política de monitoreo de NetWitness Suite
Concentrator

 
 
 
 
Concentrator tiene más de cinco consultas pendientesConsultas pendientes es mayor o igual a cinco durante 10 minutos o más.
La agregación de Concentrator tiene más de 100,000 sesiones retrasadasSesiones de dispositivos retrasadas es mayor o igual a 100,000 durante un minuto o más.
La agregación de Concentrator tiene más de 1,000,000 de sesiones retrasadasSesiones de dispositivos retrasadas es mayor o igual a 1,000,000 durante un minuto o más.
La agregación de Concentrator tiene más de 50,000,000 de sesiones retrasadasSesiones de dispositivos retrasadas es mayor o igual a 50,000,000 durante un minuto o más.
Agregación de Concentrator detenidaEstado de Broker no es igual a Iniciado.
Las bases de datos de Concentrator no están abiertasEstado de base de datos no es igual a Abierto.
La tasa de metadatos de Concentrator es ceroTasa de metadatos de Concentrator (actual) es igual a cero durante dos minutos o más.
Concentrator no consume desde servicioEstado de dispositivo no es igual a Consumiendo.
Servicio Concentrator en estado incorrectoEstado del servicio no es igual a Iniciado o Listo.
Servicio Concentrator detenidoEstado del servidor no es igual a Iniciado.
Política de monitoreo
de NetWitness Suite Decoder
Captura de Decoder no iniciadaEstado de captura no es igual a Iniciado.
La velocidad de captura de Decoder es ceroVelocidad de captura (actual) es igual a cero durante dos minutos o más.
La base de datos de Decoder no está abiertaEstado de base de datos no es igual a Abierto.
Pérdida de más del 1 % de los paquetes en DecoderPorcentaje de paquetes de captura perdidos (actual) es mayor o igual al 1 %.
Pérdida de más del 10 % de los paquetes en DecoderPorcentaje de paquetes de captura perdidos (actual) es mayor o igual al 10 %.
Pérdida de más del 5 % de los paquetes en DecoderPorcentaje de paquetes de captura perdidos (actual) es mayor o igual al 5 %.
Pool de captura de paquetes de Decoder agotadoLa línea de espera de captura de paquetes es igual a cero durante dos minutos o más.
Servicio Decoder en estado incorrectoEstado del servicio no es igual a Iniciado o Listo.
Servicio Decoder detenidoEstado del servidor no es igual a Iniciado.
Política de monitoreo
de NetWitness Suite Event Stream Analysis

 
 
 
 
Utilización total de memoria de ESA mayor que el 85 %El porcentaje total de uso de memoria de ESA es mayor o igual al 85 %.
Utilización total de memoria de ESA mayor que el 95 %El porcentaje total de uso de memoria de ESA es mayor o igual al 95 %.
Servicio ESA detenidoEstado del servidor no es igual a Iniciado.
Reglas de prueba de ESA inhabilitadasEstado de reglas de prueba no es igual a Activado.
Política de
monitoreo
de NetWitness Suite
IPDB Extractor
Servicio IPDB Extractor en estado incorrectoEstado del servicio no es igual a Iniciado o Listo.
Servicio IPDB Extractor detenidoEstado del servidor no es igual a Iniciado.
Política de
monitoreo de
NetWitness Suite Incident Management
Servicio Incident Management detenidoEstado del servidor no es igual a Iniciado.
Política de
monitoreo de
NetWitness Suite Log Collector
Servicio Log Collector detenidoEstado del servidor no es igual a Iniciado.
Línea de espera de eventos de Log Decoder más de un 50 % llenaLa cantidad de eventos que están actualmente en la línea de espera usan un 50 % o más de la línea de espera.
Línea de espera de eventos de Log Decoder más de un 80 % llenaLa cantidad de eventos que están actualmente en la línea de espera usan un 80 % o más de la línea de espera.
Servicio Log Collector en estado incorrectoEstado del servicio no es igual a Iniciado o Listo.
Política de
monitoreo de
NetWitness Suite Log Decoder
Pérdida de más del 10 % de los paquetes en DecoderPorcentaje de paquetes de captura perdidos (actual) es mayor o igual al 10 %
Captura de registros no iniciadaEstado de captura no es igual a Iniciado.
La velocidad de captura de Log Decoder es ceroVelocidad de captura (actual) es igual a cero durante dos minutos o más.
La base de datos de Log Decoder no está abiertaEstado de base de datos no es igual a Abierto.
Pérdida de más del 1 % de los registros en Log DecoderPorcentaje de paquetes de captura perdidos (actual) es mayor o igual al 1 %.
Pérdida de más del 5 % de los registros en Log DecoderPorcentaje de paquetes de captura perdidos (actual) es mayor o igual al 5 %.
Pool de captura de paquetes de Log Decoder agotadoLa línea de espera de captura de paquetes es igual a cero durante dos minutos o más.
Servicio Log Decoder detenidoEstado del servidor no es igual a Iniciado.
Servicio Log Decoder en estado incorrectoEstado del servicio no es igual a Iniciado o Listo.
Política de
monitoreo de
NetWitness Suite Malware Analysis
Servicio Malware Analysis detenidoEstado del servidor no es igual a Iniciado.
Política de monitoreo de
NetWitness Suite Reporting Engine
Utilización crítica de alertas de Reporting EngineLa utilización de alertas es mayor o igual a 10 durante cinco minutos o más.
Reporting Engine tiene menos de un 10 % de disco disponibleEl espacio disponible en disco es menor que el 10 %. 
Reporting Engine tiene menos de un 5 % de disco disponibleEl espacio disponible en disco es menor o igual al 5 %. 
Utilización crítica de gráficos de Reporting EngineLa utilización de gráficos es mayor o igual a 10 durante cinco minutos o más.
Utilización crítica de reglas de Reporting EngineLa utilización de reglas es mayor o igual a 10 durante cinco minutos o más.
Utilización crítica de pool de tareas calendarizadas de Reporting EngineLa utilización del pool de tareas calendarizadas es mayor o igual a 10 durante 15 minutos o más.
Servicio Reporting Engine detenidoEstado del servidor no es igual a Iniciado.
Utilización crítica de tareas compartidas de Reporting EngineLa utilización del pool de tareas compartidas es mayor o igual a 10 durante 5 minutos o más.
Política de monitoreo de
NetWitness Suite Warehouse
Connector
Servicio Warehouse Connector en estado incorrectoEstado del servicio no es igual a Iniciado o Listo.
Servicio Warehouse Connector detenidoEstado del servidor no es igual a Iniciado.
Flujo de Warehouse Connector retrasadoFlujo retrasado es mayor o igual a 2,000,000.
Utilización de disco de flujo de Warehouse Connector mayor que el 75 %El uso de disco de flujo (carga de destino pendiente) es mayor o igual a 75.
Flujo de Warehouse Connector en estado incorrectoEstado de flujo no es igual a Consumiendo o En línea durante 10 minutos o más.
Más de 300 archivos rechazados permanentemente en el flujo de Warehouse ConnectorLa cantidad de archivos en los archivos rechazados permanentemente es mayor o igual a 300.
La carpeta de rechazos permanentes en el flujo de Warehouse Connector está más de un 75 % llenaEl uso de la carpeta de rechazos es mayor o igual al 75 %.
Política de monitoreo de NetWitness Suite Workbench Servicio Workbench en estado incorrectoEstado del servicio no es igual a Iniciado o Listo.
Servicio Workbench detenidoEstado del servidor no es igual a Iniciado.
You are here
Table of Contents > Referencias > Estado y condición > Vista Políticas > Políticas de uso inmediato de NetWitness Suite

Attachments

    Outcomes