ESA-Konfiguration: Konfigurieren von ESA Analytics

Document created by RSA Information Design and Development on May 10, 2018
Version 1Show Document
  • View in full screen mode
 

In diesem Abschnitt werden die Hauptaufgaben zur Konfiguration von ESA Analytics-Services für die automatisierte Bedrohungserkennung von RSA NetWitness® Suite beschrieben. Mit der Funktion der automatisierten Bedrohungserkennung können Sie die Daten auf einem oder mehreren Concentrators analysieren, indem Sie vorkonfigurierte ESA Analytics-Module verwenden wie z. B. „Suspicious Domains“. Beispielsweise kann ein ESA Analytics-Service mithilfe eines Moduls „Suspicious Domains“ Ihren HTTP-Datenverkehr untersuchen, um die Wahrscheinlichkeit dafür zu ermitteln, dass böswillige Aktivitäten in Ihrer Umgebung stattfinden.

Es gibt zwei ESA-Services, die auf einem ESA-Host ausgeführt werden können:

  • Event Stream Analysis (ESA-Korrelationsregeln)
  • Event Stream Analytics Server (ESA Analytics)

Der erste Service ist der Event Stream Analysis-Service, der Warnmeldungen aus ESA-Regeln, auch bekannt als ESA-Korrelationsregeln, erstellt, die Sie manuell erstellen oder von Live herunterladen. Der zweite Service ist der ESA Analytics-Service, der für die automatisierte Bedrohungserkennung verwendet und in diesem Abschnitt konfiguriert wird. Da der ESA Analytics-Service für die automatisierte Bedrohungserkennung vorkonfigurierte ESA Analytics-Module verwendet, müssen Sie keine Regeln erstellen oder herunterladen, um ihn verwenden zu können.

Derzeit sind zwei ESA Analytics-Module verfügbar, beide für verdächtige Domains:

  • C2 für Pakete (http-packet)
  • C2 für Protokolle (http-log)
You are here
Table of Contents > Konfigurieren von ESA Analytics

Attachments

    Outcomes