ESA-Konfiguration: ESA Analytics-Zuordnungen

Document created by RSA Information Design and Development on May 10, 2018
Version 1Show Document
  • View in full screen mode
 

Im Bereich „ESA Analytics-Zuordnungen“ (ADMIN > System > ESA Analytics) definieren Sie, wie die RSA-Funktion zur automatischen Bedrohungserkennung automatisch Advanced Threats erkennen soll. Sie können die Daten auf einem oder mehreren Concentrators analysieren, indem Sie ein vorkonfiguriertes ESA Analytics-Modul auswählen.

Um Netzwerkressourcen besser nutzen zu können und unnötige Datenflüsse zu reduzieren, können Sie mehrere Datenquellen wie Concentrators verfügbaren ESA Analytics-Services zuordnen, um Daten effizienter zu verarbeiten und zusätzliche Kapazitäten zu nutzen.

Workflow

Dieser Workflow zeigt den Prozess zum Erstellen und Aktivieren einer ESA Analytics-Zuordnung, um die automatische Ermittlung von Advanced Threats zu starten.

Bevor Sie eine ESA Analytics-Zuordnung erstellen, stellen Sie sicher, dass die ESA-Hosts und -Services, die Sie für Ihre Zuordnungen verwenden möchten, online und verfügbar sind. Alle Services müssen mit einer konsistenten Zeitquelle synchronisiert sein. Stellen Sie außerdem sicher, dass die Concentrators die erforderlichen Daten erfassen. Wenn Sie eine ESA Analytics-Zuordnung erstellen, wählen Sie ein ESA Analytics-Modul für die Zuordnung aus, z. B. „Verdächtige Domains“. Dann wählen Sie die Datenquellen, z. B. Concentrators, die für dieses Modul zusammen mit einem Analytics ESA-Service für die Verarbeitung der Daten verwendet werden sollen. Wenn Sie zum Starten der Aggregation von Daten bereit sind, stellen Sie die Zuordnung bereit. Analysten können erkannte Bedrohungen für dieses Modul in der Ansicht „Reagieren“ anzeigen.

Was möchten Sie tun?

                                      
Rolle ZielDetails anzeigen
Administrator

Sicherstellen, dass die ESA-Hosts und -Services online und verfügbar sind.

ADMIN > HOSTS und ADMIN > SERVICES
Siehe Leitfaden für die ersten Schritte mit Hosts und Services.

Administrator

Sicherstellen, dass die Concentrators die erforderlichen Daten erfassen.

Siehe Konfigurationsleitfaden für Broker und Concentrator

AdministratorESA Analytics-Zuordnungen erstellen*

Zuordnen von ESA-Datenquellen zu Analytics-Modulen

AdministratorESA Analytics-Zuordnungen bereitstellen*Zuordnen von ESA-Datenquellen zu Analytics-Modulen
Administrator,
Analyst
Erkannte Bedrohungen anzeigen

Siehe NetWitness Respond – Benutzerhandbuch.

* Sie können diese Aufgaben hier (im Bereich „ESA Analytics-Zuordnungen) durchführen.

Verwandte Themen

Überblick

Das folgende Beispiel zeigt eine ESA Analytics-Zuordnung. Die Konfiguration definiert die Datenquellen für das ausgewählte Modul und den ESA Analytics-Service, der die Ereignisse aus diesen Datenquellen verarbeiten wird.

Diagramm für ESA Analytics-Zuordnungen

                                     
1Zeigt den Bereich „ESA Analytics-Zuordnungen“ an.
2Zeigt den Status der ESA Analytics-Zuordnung.
3Der Name des Moduls, das zugeordnet wird.
4Datenquellen wie Concentrators, die der Zuordnung zugewiesen sind.
5ESA Analytics-Service, der die Daten für die Zuordnung verarbeitet.
6Konfiguration der Aufwärmphase (in Stunden) auf den Datenquellen für die Zuordnung.
7Konfiguration der Verzögerung (in Minuten) auf den Datenquellen für die Zuordnung.
8Aktionen für die Änderung von Moduleinstellungen, Bereitstellung von Modulzuordnungen und Aufhebung der Bereitstellung von Modulzuordnungen.

Symbolleiste

In der folgenden Tabelle werden die Aktionen der Symbolleiste beschrieben.

                        
Symbol/SchaltflächeBeschreibung

Add.png

Öffnet das Dialogfeld „Zuordnungen erstellen“, in dem Sie eine ESA Analytics-Zuordnung erstellen können. Erstellen Sie eine separate Zuordnung für jedes Modul.
Nach dem Erstellen und Überprüfen der Zuordnungen stellen Sie diese bereit.

Delete.png

Löscht eine ESA Analytics-Zuordnung.

  • Sie können eine Zuordnung mit dem Status „Nicht bereitgestellt“ zu einem beliebigen Zeitpunkt löschen. Da eine Zuordnung mit dem Status „Nicht bereitgestellt“ nicht bereitgestellt ist und nicht ausgeführt wird, ergeben sich keine Auswirkungen auf die Datenaggregation.

  • Durch das Löschen einer bereitgestellten Zuordnung wird die Konfiguration auf dem ESA-Server gelöscht, die Bereitstellung für diese Zuordnung zurückgesetzt und das Abrufen von Daten aus der Datenquelle für dieses Modul gestoppt. Sie müssen die Bereitstellung einer Zuordnung mit dem Status „Bereitgestellt“ aufheben, bevor Sie sie löschen.

Jetzt bereitstellen

Nachdem Sie Ihre Zuordnungen erstellt haben, müssen Sie sie bereitstellen, um die Aggregation von Daten für die Module starten zu können. Sie können eine oder mehrere Zuordnungen mit dem Status „Nicht bereitgestellt“ für die Bereitstellung auswählen.

Hinweis: Wenn Sie Änderungen an einer bereitgestellten Zuordnung vornehmen möchten, z. B. Concentrators hinzufügen oder entfernen oder den Service ändern, müssen Sie die Bereitstellung der vorhandenen Zuordnung aufheben und die Zuordnung löschen und dann eine neue Zuordnung für dieses Modul erstellen und bereitstellen.

ESA Analytics-Zuordnungen

In der folgenden Tabelle werden die aufgeführten ESA Analytics-Zuordnungen beschrieben.

                                           
BezeichnungBeschreibung
Auswählen-Symbol Um eine einzelne Zuordnung auszuwählen, aktivieren Sie das Kontrollkästchen neben der Zuordnung.

Status

Zeigt den Status der Zuordnung. Es gibt zwei Status:

Nicht bereitgestellt – Eine nicht bereitgestellte Zuordnung ordnet ein ESA Analytics-Modul Quellen und einem ESA Analytics-Service zu. Das Aggregieren von Daten für das Modul wird erst gestartet, wenn Sie die Zuordnung bereitstellen.

Bereitgestellt – Eine bereitgestellte Zuordnung ist bereitgestellt und wird ausgeführt. In einer bereitgestellten Zuordnung nutzt der ausgewählte ESA Analytics-Service die abfragebasierte Aggregation, um die entsprechenden gefilterten Ereignisse für das ausgewählte Modul von den Concentrators zu erfassen.

Modul

Gibt das ausgewählten ESA Analytics-Modul an. Ein ESA Analytics-Modul ist eine Pipeline aus Aktivitätsobjekten, die ein Ereignis durch mathematische Berechnungen um zusätzliche Informationen ergänzen. Das Modul befindet sich im ESA Analytics-Service.

Quellen

Quellen sind die Datenquellen, wie Concentrators, von denen ESA die Daten für das angegebene Modul aggregiert.

Service

Gibt den ESA Analytics-Service an, von dem die Daten für das angegebene Modul verarbeitet werden. Der ausgewählte Service muss mit einer konsistenten Zeitquelle synchronisiert sein.

Aufwärmzeit (Stunden)

Gibt eine Dauer für die Aufwärmphase (in Stunden) an. Eine Aufwärmphase ist erforderlich, damit die automatisierte Bedrohungserkennung Ihren Datenverkehr „kennen lernen“ kann. Die Aufwärmphase sollte ausgeführt werden, wenn der typische Datenverkehr ausgeführt wird. Während dieser Zeit werden Warnmeldungen für die Zuordnung von Modulen unterdrückt. Die Aufwärmzeit bereitet das Modul mit Verlaufsdaten vor und sorgt dafür, dass die Datenerfassung auch wirklich die angegebene Anzahl an Stunden dauert, bevor Warnmeldungen gesendet werden.

RSA bietet vorkonfigurierte ESA Analytics-Module. Für jeden Modultyp ist eine standardmäßige Aufwärmphase definiert, die Sie bei Bedarf an Ihre Umgebung anpassen können. Nach dieser Aufwärmphase können Warnmeldungen angezeigt werden.

Weitere Informationen zu Aufwärmphase und Verzögerungszeit finden Sie unter Moduleinstellungen.

Verzögerungszeit (Minuten)

Gibt eine konstante Verzögerungszeit in Minuten an, die hinzugefügt wird, um zu vermeiden, dass Ereignisse, die in Zeiten mit hoher Aktivität von den Datenquellen verarbeitet werden, verloren gehen. Beispielsweise variiert die Concentrator-Performance in Abhängigkeit von Faktoren wie der eingehenden Last, laufenden Abfragen und Indexierung. Aufgrund von diesen Faktoren aggregiert ein Concentrator Ereignisse möglicherweise nicht in Echtzeit, was zu der Verzögerung führt.

Der Verzögerungsparameter verschafft dem Concentrator die Möglichkeit, die Aggregation aller Daten abzuschließen.

Nach Abschluss der Aufwärmphase wird die Datenaggregation mit der aktuellen (System-)Zeit – Verzögerungszeit fortgesetzt. Das ist hilfreich, wenn ein Concentrator bei der Datenaggregation langsam ist. Die Verzögerungszeit stellt sicher, dass das Modul keine Daten verarbeitet, die innerhalb des Verzögerungszeitfensters auf dem Concentrator eintreffen. Auf diese Weise ist eine ausreichende Verzögerung gegeben, damit alle Ereignisse, die im Unternehmen erzeugt werden, vom Modul verarbeitet werden können.

Wenn beispielsweise für die Verzögerung 30 Minuten und für die aktuelle Zeit 14 Uhr angegeben werden, beginnt der Concentrator um 13:30 mit dem Abrufen von Datensätzen. Das Verzögerungszeitfenster, in diesem Beispiel 30 Minuten, bleibt im Zeitverlauf konstant. Wenn die aktuelle Zeit auf 14:01 vorrückt, ruft der Concentrator die nächste Minute von Daten um 13:31 Uhr ab und so weiter.

Wichtig: Die Verzögerungszeit definiert den Puffer zwischen der aktuellen Zeit und der Zeit, zu der das Modul die Daten aufnimmt.

Achtung: RSA empfiehlt, dass Administratoren die Verzögerungsparameter basierend auf der Performance jedes einzelnen Concentrator dynamisch anpassen, um zu vermeiden, während der Aggregation Ereignisse zu vergessen.

Weitere Informationen zu Aufwärmphase und Verzögerungszeit finden Sie unter Moduleinstellungen.

Symbol „Aktionen“

Ermöglicht Ihnen die Auswahl zusätzlicher Aktionen für die ausgewählte Modulzuordnung:

  • Modul bearbeiten – Ermöglicht Ihnen die Konfiguration der Aufwärmphase und der Verzögerungszeit für die ausgewählte Modulzuordnung.

  • Bereitstellen – Stellt die ausgewählte Modulzuordnung bereit. Der angegebene ESA Analytics-Service beginnt mit dem Abrufen von Daten aus den Datenquellen für dieses Modul.

  • Bereitstellung aufheben – Hebt die Bereitstellung der ausgewählten Modulzuordnung auf. Der angegebene ESA Analytics-Service stoppt das Abrufen von Daten aus den Datenquellen für dieses Modul.

Achtung: Das Aufheben der Bereitstellung einer Zuordnung mit dem Status „Bereitgestellt“ wirkt sich auf die Datenaggregation für dieses Modul aus.

You are here
Table of Contents > Referenzen > ESA Analytics-Zuordnungen

Attachments

    Outcomes