ATD: Troubleshooting der automatisierten Bedrohungserkennung

Document created by RSA Information Design and Development on May 8, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Suite Die automatisierte Bedrohungserkennung ist eine Analyse-Engine, die Ihre HTTP-Daten untersucht. Sie verwendet auch andere Komponenten, wie etwa die Services „Whois“ und „Context Hub“, die Ihre Installation komplexer machen können. Dieses Thema enthält Vorschläge zum Auffinden von Problemen, wenn Ihre Bereitstellung der automatisierten Bedrohungserkennung nicht die Ergebnisse liefert, die Sie erwarten.

Mögliche Probleme

                                 
ProblemMögliche UrsachenLösungen
Ich erhalte zu viele Warnmeldungen (falsch positive Ergebnisse).Verschiedene

Eine mögliche Ursache ist, dass der Whois-Abfrageservice fehlgeschlagen oder nicht konfiguriert ist. Die Whois-Abfrage ist hilfreich bei der Ermittlung, ob eine URL gültig ist, und wenn die Verbindung fehlschlägt oder nicht ordnungsgemäß konfiguriert ist, kann es zu falsch positiven Ergebnissen kommen. Siehe „Konfigurieren des Whois-Abfrageservice“ im ESA-Konfigurationsleitfaden.

  Sie müssen eventuell URLs zur Whitelist hinzufügen. Manchmal löst das legitime Verhalten für eine URL eine Warnmeldung aus. Eine Möglichkeit, dies zu verhindern, besteht darin, die URL zur Whitelist hinzufügen. Siehe „Hinzufügen einer Entität zu einer Whitelist“ im NetWitness Respond-Benutzerhandbuch.
Ich sehe keine Warnmeldungen.Der ESA-Host erfordert eine „Aufwärmphase“, wenn Sie eine ESA Analytics-Modulzuordnung für die automatisierte Bedrohungserkennung bereitstellen. Wenn Sie eine ESA Analytics-Modulzuordnung für die automatisierte Bedrohungserkennung bereitstellen, gibt es eine Aufwärmphase, während der keine Warnmeldungen angezeigt werden. Jeder Modultyp hat eine Standardaufwärmphase und Sie müssen warten, bis die Aufwärmphase abgeschlossen ist. Weitere Informationen finden Sie im Thema „Zuordnen von ESA-Datenquellen zu Analytics-Modulen“ im ESA-Konfigurationsleitfaden.
Ich sehe Performanceprobleme (es werden mehr Ressourcen verbraucht oder der Durchsatz geht zurück).VerschiedeneWenn Sie Performanceprobleme bei einem ESA-Host haben, der sowohl die automatisierte Bedrohungserkennung (ESA Analytics) als auch ESA-Regeln ausführt, befolgen Sie die Schritte zum Troubleshooting für Regeln. Diese Troubleshooting-Schritte finden Sie unter „Troubleshooting für ESA“ im Handbuch Versenden von Warnmeldungen mit ESA.
You are here
Table of Contents > Troubleshooting der automatisierten Bedrohungserkennung

Attachments

    Outcomes