ESA-Konfiguration: Event Stream Analysis – Übersicht

Document created by RSA Information Design and Development on May 10, 2018
Version 1Show Document
  • View in full screen mode
 

RSA NetWitness® Suite Event Stream Analysis (ESA) bietet Ereignisstreamanalysen wie Korrelation und komplexe Ereignisverarbeitung mit hohen Durchsätzen und niedriger Latenz. Er kann große Mengen unterschiedlicher Ereignisdaten aus Concentrators verarbeiten.

Die erweiterte Ereignisverarbeitungssprache von ESA ermöglicht Filterung, Aggregation, Verknüpfung, Mustererkennung und Korrelation über mehrere verteilte Ereignisstreams. Event Stream Analysis erleichtert die leistungsstarke Erkennung von Incidents und Erzeugung von Warnmeldungen.

In der folgenden Grafik ist der allgemeine Workflow dargestellt:


Ablaufdiagramm für allgemeine Warnmeldungsdaten

Es gibt zwei ESA-Services, die auf einem ESA-Host ausgeführt werden können:

  • Event Stream Analysis (ESA-Korrelationsregeln)
  • Event Stream Analytics Server (ESA Analytics)

Der erste Service ist der Event Stream Analysis-Service, der Warnmeldungen aus ESA-Regeln, auch bekannt als ESA-Korrelationsregeln, erstellt, die Sie manuell erstellen oder von Live herunterladen. Der zweite Service ist der ESA Analytics-Service, der für die automatisierte Bedrohungserkennung verwendet wird. Da der ESA Analytics-Service für die automatisierte Bedrohungserkennung vorkonfigurierte ESA Analytics-Module verwendet, müssen Sie keine Regeln erstellen oder herunterladen, um die automatisierte Bedrohungserkennung verwenden zu können.

Die ESA Analytics-Services verwenden abfragebasierte Aggregation (Query-Based Aggregation, QBA), um gefilterte Ereignisse für die ESA Analytics-Module von Concentrators zu erfassen. Nur die von einem Modul benötigten Daten werden zwischen dem Concentrator und dem ESA Analytics-System übertragen. Beispielsweise kann ein ESA Analytics-Service mithilfe eines ESA Analytics-Moduls „Suspicious Domains“ wie C2 für Pakete (http-packet) Ihren HTTP-Datenverkehr untersuchen, um die Wahrscheinlichkeit dafür zu ermitteln, dass böswillige Aktivitäten in Ihrer Umgebung stattfinden.

You are here
Table of Contents > Event Stream Analysis – Übersicht

Attachments

    Outcomes