ESA-Konfiguration: Ansicht „Services-Konfiguration“ – Registerkarte „Erweitert“

Document created by RSA Information Design and Development on May 10, 2018
Version 1Show Document
  • View in full screen mode
 

Die Ansicht „Services-Konfiguration“ > Registerkarte „Erweitert“ eines ESA-Service ermöglicht Ihnen die Konfiguration erweiterter Einstellungen. In der Ansicht „Erweitert“ können Sie erweiterte Einstellungen konfigurieren, um eine verbesserte Performance zu erzielen, die Ereignisanzahl für Regeln mit mehreren Ereignissen zu beschränken, Ereignisse im Arbeitsspeicher zu puffern und die Anzahl der in der ESA zu speichernden Ereignisse festzulegen.

Workflow

Dieser Workflow zeigt den allgemeinen Prozess für die Konfiguration von ESA. Er zeigt auch, wo im Prozess sich die erweiterten Einstellungen befinden.

Zeigt den Workflow der ESA-Konfiguration und wo im Prozess Sie sich befinden: (Optional) Konfigurieren von erweiterten Einstellungen

ESA bietet zwei Services, den Event Stream Analysis-Service (ESA-Korrelationsregeln) und den Event Stream Analytics-Server-Service (ESA Analytics). Die ersten vier gezeigten Verfahren beziehen sich auf das Konfigurieren des Event Stream Analysis-Service:

  • Hinzufügen einer Datenquelle zu einem ESA-Service
  • Benachrichtigungen konfigurieren
  • Live-Inhalt herunterladen
  • (Optional) Konfigurieren von erweiterten Einstellungen

Das letzte Verfahren ist getrennt von den anderen und bezieht sich auf das Erstellen von Zuordnungen für die ESA Analytics-Services, um die automatische Ermittlung von Advanced Threats zu starten:

  • (Optional) Erstellen und Bereitstellen von ESA Analytics-Zuordnungen

Was möchten Sie tun?

                                 
Rolle ZielDetails anzeigen
AdministratorEinen Concentrator als Datenquelle zum Event Stream Analysis-Service hinzufügen

Siehe Konfigurieren von ESA-Korrelationsregeln und Schritt 1. Hinzufügen einer Datenquelle zu einem ESA-Service

AdministratorBenachrichtigungen konfigurieren

Siehe „Benachrichtigungsmethoden“ im Handbuch Versenden von Warnmeldungen mit ESA.

AdministratorLive-Inhalt herunterladen

Siehe „Ansicht 'Live-Suche'“ im Leitfaden Live-Ressourcenmanagement.

AdministratorErweiterte Einstellungen konfigurieren*

Schritt 2. Konfigurieren erweiterter Einstellungen für einen ESA-Service

*Sie können diese Aufgaben hier (auf der Registerkarte „Erweitert“ der Ansicht „Services-Konfiguration“) durchführen.

Verwandte Themen

  • Siehe „Hinzufügen oder Aktualisieren eines Hosts“ im Leitfaden für die ersten Schritte mit Hosts und Services.

Überblick

Um auf die Registerkarte „Erweitert“ zuzugreifen, gehen Sie zu ADMIN > Services > (wählen Sie einen ESA-Service) > > Ansicht > Konfiguration aus.

Die folgende Abbildung zeigt die Registerkarte „Erweitert“ der Ansicht „Services-Konfiguration“ für einen ESA-Service.

Registerkarte „Erweitert“ der Ansicht „Services-Konfiguration“ für einen ESA-Service

Einstellungen der Warnmeldungs-Engine

Im Abschnitt Warnmeldungs-Engine geben Sie Werte an, um Ereignisse für Regeln zu bewahren, die mehrere Ereignisse wählen. Die folgende Abbildung zeigt den Abschnitt „Warnmeldungs-Engine“ an.

Abschnitt „Warnmeldungs-Engine“

In der folgenden Tabelle werden die Parameter im Abschnitt „Warnmeldungs-Engine“ mit einer Beschreibung aufgelistet.

                         
ParameterBeschreibung
Max. BürgerereignisseFür Regeln, die mehrere Ereignisse auswählen, legt dieser Konfigurationswert fest, wie viele der zugehörigen Ereignisse erhalten bleiben. Wenn eine Regel z. B. eine Warnmeldung mit 200 zugehörigen Ereignissen auslöst und dieser Parameter auf 100 eingestellt ist, werden nur die ersten 100 von ESA gespeichert; der Rest wird gelöscht. Der Standardwert ist 100.
Regeln debuggen?Aktivieren Sie dieses Kontrollkästchen, um das Debugging von Regeln zu aktivieren.
Warnmeldungen an Nachrichtenbus weiterleitenWenn Sie ESA-Warnmeldungen für NetWitness Respond weiterleiten möchten, müssen Sie diese Option auswählen. Die erzeugten ESA-Warnmeldungen werden an den Nachrichtenbus und dann an Respond gesendet. Diese Option ist standardmäßig ausgewählt. Stellen Sie sicher, dass der Antwortserver-Service ausgeführt wird.
Max. Warnmeldungen pro Sekunde für eine Testregel Sie können die maximale Anzahl der an den Nachrichtenbus weiterzuleitenden Warnmeldungen für die Testregel angeben. Wenn der Wert beispielsweise auf 50 festgelegt ist, werden nur 50 Warnmeldungen für die Testregel an den Nachrichtenbus weitergeleitet. Wenn der Wert auf 0 festgelegt ist, werden die durch die Testregel erzeugten Warnmeldungen nicht an den Nachrichtenbus weitergeleitet. Der Standardwert ist 10.

Einstellungen der Ereignis-Stream-Engine

Im Abschnitt Ereignis-Stream-Engine geben Sie Details an, um die Performance zu verbessern. Die folgende Abbildung zeigt den Abschnitt „Ereignis-Stream-Engine“.

Abschnitt „Ereignis-Stream-Engine“

In der folgenden Tabelle werden die Parameter im Abschnitt „Ereignis-Stream-Engine“ mit einer Beschreibung aufgelistet.

              
ParameterBeschreibung
Max. Muster-TeilausdrückeFür bestimmte Regeln muss ESPER Teilausdrücke im Speicher behalten, bevor entscheiden wird, ob sie ausgelöst werden. Diese Teilausdrücke belegen Platz im Arbeitsspeicher und können ohne Kontrolle den Arbeitsspeicher überlasten und einen Servicefehler verursachen. Dieser Parameter ist eine Sicherheitsmaßnahme, damit nicht zu viel Arbeitsspeicher belegt wird. Wenn eine Regel die angegebene Anzahl von Teilausdrücken überschreitet, wird die Verarbeitung verzögert. Der Standardwert ist 0; hiermit ist die Einstellung deaktiviert. Sie müssen einen Wert festlegen, wenn Probleme mit der Stabilität des Services auftreten.
You are here
Table of Contents > Referenzen > Ansicht „Service-Konfiguration“ – Registerkarte „Erweitert“

Attachments

    Outcomes