Ich erhalte zu viele Warnmeldungen (falsch positive Ergebnisse). | Verschiedene | Eine mögliche Ursache ist, dass der Whois-Abfrageservice fehlgeschlagen oder nicht konfiguriert ist. Die Whois-Abfrage ist hilfreich bei der Ermittlung, ob eine URL gültig ist, und wenn die Verbindung fehlschlägt oder nicht ordnungsgemäß konfiguriert ist, kann es zu falsch positiven Ergebnissen kommen. Siehe „Konfigurieren des Whois-Abfrageservice“ im ESA-Konfigurationsleitfaden. |
| | Sie müssen eventuell URLs zur Whitelist hinzufügen. Manchmal löst das legitime Verhalten für eine URL eine Warnmeldung aus. Eine Möglichkeit, dies zu verhindern, besteht darin, die URL zur Whitelist hinzufügen. Siehe „Hinzufügen einer Entität zu einer Whitelist“ im NetWitness Respond-Benutzerhandbuch. |
Ich sehe keine Warnmeldungen. | Der ESA-Host erfordert eine „Aufwärmphase“, wenn Sie eine ESA Analytics-Modulzuordnung für die automatisierte Bedrohungserkennung bereitstellen. | Wenn Sie eine ESA Analytics-Modulzuordnung für die automatisierte Bedrohungserkennung bereitstellen, gibt es eine Aufwärmphase, während der keine Warnmeldungen angezeigt werden. Jeder Modultyp hat eine Standardaufwärmphase und Sie müssen warten, bis die Aufwärmphase abgeschlossen ist. Weitere Informationen finden Sie im Thema „Zuordnen von ESA-Datenquellen zu Analytics-Modulen“ im ESA-Konfigurationsleitfaden. |
Ich sehe Performanceprobleme (es werden mehr Ressourcen verbraucht oder der Durchsatz geht zurück). | Verschiedene | Wenn Sie Performanceprobleme bei einem ESA-Host haben, der sowohl die automatisierte Bedrohungserkennung (ESA Analytics) als auch ESA-Regeln ausführt, befolgen Sie die Schritte zum Troubleshooting für Regeln. Diese Troubleshooting-Schritte finden Sie unter „Troubleshooting für ESA“ im Handbuch Versenden von Warnmeldungen mit ESA. |