Systemwartung: Vordefinierte Security Analytics-Richtlinien

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 22, 2018
Version 2Show Document
  • View in full screen mode
 

In der folgenden Tabelle sind die vordefinierten NetWitness Suite-Richtlinien mit den für die einzelnen Richtlinien definierten Regeln aufgeführt.

Auf dieser Registerkarte können Sie folgende Aufgaben für diese Richtlinien ausführen:

  • Ändern der Service-/Gruppenzuweisungen
  • Aktivieren/Deaktivieren der Zuweisungen

Folgende Aufgaben können Sie nicht für diese Richtlinien ausführen:

  • Löschen der Richtlinien
  • Bearbeiten der Richtliniennamen

Hinweis: Weitere Informationen über die vordefinierten Richtlinien finden Sie in der Benutzeroberfläche unter „
Integrität und Zustand“ > „Richtlinien“. 

                                                                                                                                                                                                                                                                                                                                                                                         
RichtliniennameName der RegelAusgelöster Alarm
 Ausfall der Kommunikation zwischen dem Security Analytics-Masterhost und einem RemotehostMindestens 10
Minuten lang ist der Host nicht verfügbar, das Netzwerk ist nicht bereit, Message Broker wird heruntergefahren oder Sicherheitszertifikate sind ungültig oder fehlen.
NetWitness-Server Überwachungsrichtlinie Kritische Nutzung des Rabbitmq Message Broker-DateisystemsFür var/lib/rabbitmq übersteigt die Datenträgernutzung des gemounteten Dateisystems 75 %.
Dateisystem ist ausgelastet.Die gesamte Datenträgernutzung des gemounteten Dateisystems erreicht 100 %.
Hohe Nutzung des DateisystemsDie gesamte Datenträgernutzung des gemounteten Dateisystems übersteigt 95 %.
Hohe Nutzung des System-SwapDie Swap-Nutzung liegt mindestens 5 Minuten lang unter 5 %.
Hohe Nutzung des Rabbitmq Message Broker-DateisystemsDatenträgernutzung des gemounteten Dateisystems für var/lib/rabbitmq übersteigt 60 %.
Host nicht erreichbarDer Host wird nicht ausgeführt.
Status des LogCollector-Ereignisprozessors mit Exchange-BindungenEs gibt mindestens 10 Minuten lange Probleme mit der Message Broker-Warteschlange für die Protokollsammlung.
Warteschlange des LogCollector-Ereignisprozessors ohne BindungenEs gibt mindestens 10 Minuten lange Probleme mit der Message Broker-Warteschlange für die Protokollsammlung.
Warteschlange des LogCollector-Ereignisprozessors ohne VerbraucherEs gibt mindestens 10 Minuten lange Probleme mit der Message Broker-Warteschlange für die Protokollsammlung.
Netzteil-AusfallDer Host ist nicht eingeschaltet.
Logisches RAID-Laufwerk heruntergestuftDer Laufwerksstatus für ein logisches RAID-Laufwerk lautet „Heruntergestuft“ oder „Teilweise heruntergestuft“.
Fehler am logischen RAID-LaufwerkDer Laufwerksstatus für ein logisches RAID-Laufwerk ist „Offline“, „Fehlgeschlagen“ oder „Unbekannt“.
Erneuter Aufbau des logischen RAID-LaufwerksDer Laufwerksstatus für ein logisches RAID-Laufwerk ist „Erneuter Aufbau“.
Fehler am physischen RAID-LaufwerkDer Status das physischen RAID-Laufwerks ist nicht „Online“, „Online, Spun Up“ oder „HotSpare“.
Vorhergesagter Fehler am physischen RAID-LaufwerkDer Zähler für vorhergesagte Fehler am phyischen RAID-Laufwerk ist größer 1.
Erneuter Aufbau des physischen RAID-LaufwerksDer Laufwerksstatus für ein physisches
RAID-Laufwerk ist „Erneuter Aufbau“.
Nicht konfiguriertes physisches RAID-LaufwerkDer Laufwerksstatus des physischen RAID-Laufwerks
ist „Unconfigured (good)“.
Fehler an SD-KarteDer Status der SD-Karte ist nicht „OK“.
NetWitness SuiteRichtlinie für die Überwachung von Archiver
Archiver-Aggregation beendetDer Status von Archiver lautet nicht „gestartet“.
Archiver-Datenbank(en) nicht geöffnetDer Datenbankstatus lautet nicht „geöffnet“.
Archiver nutzt den Service nichtDer Gerätestatus lautet nicht „wird genutzt“.
Archiver-Service in schlechtem ZustandDer Status des Services lautet nicht „gestartet“ oder „bereit“.
Archiver-Service angehaltenDer Serverstatus lautet nicht „gestartet“.
NetWitness SuiteRichtlinie für die Überwachung von Broker Broker >5 anstehende Abfragen10 Minuten lang sind mindestens 5 Abfragen ausstehend.
Broker-Aggregation beendetDer Status von Broker lautet nicht „gestartet“.
Broker nutzt den Service nichtDer Gerätestatus lautet nicht „wird genutzt“.
Broker-Service in schlechtem ZustandDer Status des Services lautet nicht „gestartet“ oder „bereit“.
Broker-Service angehaltenDer Serverstatus lautet nicht „gestartet“.
Broker-Sitzungsrate gleich nullDie (derzeitige) Sitzungsrate beträgt mindestens eine Minute lang 0.
NetWitness Suite
Richtlinie für die Überwachung von Concentrator

 
 
 
 
Concentrator >5 anstehende Abfragen10 Minuten lang sind mindestens 5 Abfragen ausstehend.
Concentrator-Aggregation >100K Sitzungen zurückGerätesitzungen sind mindestens 1 Minute lang größer oder gleich 100.000 Sitzungen zurück.
Concentrator-Aggregation >1M Sitzungen zurückGerätesitzungen sind mindestens 1 Minute lang größer oder gleich 1.000.000 Sitzungen zurück
Concentrator-Aggregation >50M Sitzungen zurückGerätesitzungen sind mindestens 1 Minute lang größer oder gleich 50.000.000.Sitzungen zurück
Concentrator-Aggregation beendetDer Status von Broker lautet nicht „gestartet“.
Concentrator-Datenbank(en) nicht geöffnetDer Datenbankstatus lautet nicht „geöffnet“.
Concentrator-Metarate NullDie (aktuelle) Metarate von Concentrator beträgt mindestens 2 Minuten lang 0.
Concentrator nutzt den Service nichtDer Gerätestatus lautet nicht „wird genutzt“.
Concentrator-Service in schlechtem ZustandDer Status des Services lautet nicht „gestartet“ oder „bereit“.
Concentrator-Service angehaltenDer Serverstatus lautet nicht „gestartet“.
NetWitness SuiteRichtlinie für die Überwachung von Decoder
Erfassung durch Decoder nicht gestartetDer Erfassungsstatus lautet nicht „gestartet“.
Erfassungsrate Decoder NullDie (aktuelle) Erfassungsrate beträgt mindestens 2 Minuten lang 0.
Decoder-Datenbank nicht geöffnetDer Datenbankstatus lautet nicht „geöffnet“.
Decoder hat >1 % der Pakete abgelegtDer Prozentsatz der abgelegten Erfassungspakete ist (derzeit) größer oder gleich 1 %.
Decoder hat >10 % der Pakete abgelegtDer Prozentsatz der abgelegten Erfassungspakete ist (derzeit) größer oder gleich 10 %.
Decoder hat >5 % der Pakete abgelegtDer Prozentsatz der abgelegten Erfassungspakete ist (derzeit) größer oder gleich 5 %.
Der Erfassungspaketpool von Decoder ist erschöpftDie Warteschlage für die Paketerfassung ist mindestens 2 Minuten lang 0.
Decoder-Service in schlechtem ZustandDer Status des Services lautet nicht „gestartet“ oder „bereit“.
Decoder-Service angehaltenDer Serverstatus lautet nicht „gestartet“.
NetWitness Suite Richtlinie für die Überwachung von Event Stream Analysis

 
 
 
 
ESA-Gesamtspeicherauslastung > 85 %Die gesamte prozentuale Speichernutzung durch ESA ist größer oder gleich 85 %.
ESA-Gesamtspeicherauslastung > 95 %Die gesamte prozentuale Speichernutzung durch ESA ist größer oder gleich 95 %.
ESA-Service angehaltenDer Serverstatus lautet nicht „gestartet“.
ESA-Testregeln deaktiviertDer Status der Testregeln lautet nicht „aktiviert“.
NetWitness Suite Richtlinie für die Überwachung von IPDB
Extractor

IPDB Extractor-Service in schlechtem ZustandDer Status des Services lautet nicht „gestartet“ oder „bereit“.
IPDB Extractor-Service angehaltenDer Serverstatus lautet nicht „gestartet“.
NetWitness Suite Richtlinie für die Überwachung von Incident-Management

Incident Management-Service angehaltenDer Serverstatus lautet nicht „gestartet“.
NetWitness Suite Richtlinie für die Überwachung von Log Collector

Log Collector-Service angehaltenDer Serverstatus lautet nicht „gestartet“.
Log Decoder-Ereignisquelle >50 % vollDie Anzahl der derzeit in der Warteschlange vorhandenen Ereignisse nutzt mindestens 50 % der Warteschlange.
Log Decoder-Ereignisquelle >80 % vollDie Anzahl der derzeit in der Warteschlange vorhandenen Ereignisse nutzt mindestens 80 % der Warteschlange.
Log Collector-Service in schlechtem ZustandDer Status des Services lautet nicht „gestartet“ oder „bereit“.
NetWitness SuiteRichtlinie für die Überwachung von Log Decoder

Decoder hat > 10 % der Pakete abgelegtDer Prozentsatz der abgelegten Erfassungspakete ist (derzeit) größer oder gleich 10 %.
Protokollerfassung nicht gestartetDer Erfassungsstatus lautet nicht „gestartet“.
Erfassungsrate Log Decoder NullDie (aktuelle) Erfassungsrate beträgt mindestens 2 Minuten lang 0.
Log Decoder-Datenbank nicht geöffnetDer Datenbankstatus lautet nicht „geöffnet“.
Log Decoder hat >1 % der Protokolle abgelegtDer Prozentsatz der abgelegten Erfassungspakete ist (derzeit) größer oder gleich 1 %.
Log Decoder hat >5 % der Protokolle abgelegtDer Prozentsatz der abgelegten Erfassungspakete ist (derzeit) größer oder gleich 5 %.
Der Erfassungspaketpool von Log Decoder ist erschöpftDie Warteschlage für die Paketerfassung ist mindestens 2 Minuten lang 0.
Log Decoder-Service angehaltenDer Serverstatus lautet nicht „gestartet“.
Log Decoder-Service in schlechtem ZustandDer Status des Services lautet nicht „gestartet“ oder „bereit“.
NetWitness Suite Richtlinie für die Überwachung von Malware Analysis

Malware Analysis-Service angehaltenDer Serverstatus lautet nicht „gestartet“.
NetWitness Suite Richtlinie für die Überwachung von Reporting Engine
Kritische Verwendung von Reporting Engine-WarnmeldungenEs werden mindestens 5 Minuten lang größer oder gleich 10 Warnmeldungen verwendet.
Verfügbarer Datenträgerplatz für Reporting Engine <10 %Der verfügbare Speicherplatz auf dem Datenträger beträgt weniger als 10 %. 
Verfügbarer Datenträgerplatz für Reporting Engine <5 %Der verfügbare Speicherplatz auf dem Datenträger beträgt weniger als 5 %. 
Kritische Verwendung von Reporting Engine-DiagrammenEs werden mindestens 5 Minuten lang größer oder gleich 10 Diagramme verwendet.
Kritische Verwendung von Reporting Engine-RegelnEs werden mindestens 5 Minuten lang größer oder gleich 10 Regeln verwendet.
Kritische Verwendung von Reporting Engine-Pools für geplante AufgabenEs werden mindestens 15 Minuten lang größer oder gleich 10 Pools für geplante Aufgaben verwendet.
Reporting Engine-Service angehaltenDer Serverstatus lautet nicht „gestartet“.
Kritische Verwendung von freigegebenen Aufgaben in Reporting EngineEs werden mindestens 5 Minuten lang größer oder gleich 10 Pools für freigebene Aufgaben verwendet.
NetWitness Suite Richtlinie für die Überwachung von Warehouse Connector

Warehouse Connector-Service in schlechtem ZustandDer Status des Services lautet nicht „gestartet“ oder „bereit“.
Warehouse Connector-Service angehaltenDer Serverstatus lautet nicht „gestartet“.
Warehouse Connector-Stream zurückDer Stream ist größer oder gleich 2000000 zurück.
Warehouse Connector-Stream Datenträgernutzung > 75 %Die Datenträgernutzung des Stream (Anstehende Ziellast) ist größer oder gleich 75.
Warehouse Connector-Stream in schlechtem ZustandDer Streamstatus zeigt mindestens 10 Minuten lang keine Nutzung oder ist nicht online
Permanent durch den Warehouse Connector-Stream abgelehnte Dateien > 300Die Anzahl der permanent abgelehnten Daten beträgt größer oder gleich 300.
Permanent durch den Warehouse Connector-Stream abgelehnte Ordner > 75 % vollDie Nutzung durch abgelehnte Ordner ist größer oder gleich 75 %.
NetWitness Suite Richtlinie für die Überwachung von Workbench Workbench-Service in schlechtem ZustandDer Status des Services lautet nicht „gestartet“ oder „bereit“.
Workbench-Service angehaltenDer Serverstatus lautet nicht „gestartet“.
You are here
Table of Contents > Referenzen > Integrität und Zustand > Ansicht „Richtlinien“ > Vordefinierte Richtlinien für NetWitness Suite

Attachments

    Outcomes