ESM: Automatische Warnmeldungen

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

In diesem Thema werden automatische Warnmeldungen beschrieben, die auf Baseline-Einstellungen basieren.

Hinweis: Automatische Warnmeldungen und alle Parameter, die ihr Verhalten bestimmen, sind derzeit im Beta-Test.

Sie können Policies und Schwellenwerte für Ihre Ereignisquellengruppen einrichten. So erhalten Sie Benachrichtigungen, wenn die Schwellenwerte nicht eingehalten werden. NetWitness Suite bietet darüber hinaus eine Methode, Alarme automatisch zu erhalten, wenn Sie keine Schwellenwerte einrichten möchten, um Alarme zu erzeugen.

Um automatische Warnmeldungen auszulösen, können Sie Baselinewerte verwenden. Auf diese Weisemüssen Sie nicht zahlreiche Gruppenschwellenwerte und -Policies einrichten, um Warnmeldungen zu erhalten. Jede ungewöhnliche Menge von Nachrichten löst Warnmeldungen aus, ohne dass eine Konfiguration erforderlich ist (außer dem Einschalten der automatischen Warnmeldungen).

Beachten Sie Folgendes:

  • Sobald Sie damit beginnen, Nachrichten aus einer Ereignisquelle zu sammeln, braucht das System etwa eine Woche, um einen Baselinewert für diese Ereignisquelle zu speichern. Nach diesem ersten Zeitraum warnt Sie das System, wenn die Anzahl der Nachrichten für einen Zeitraum um eine bestimmte Menge über oder unter der Baseline liegen. Standardmäßig ist diese Menge 2 Standardabweichungen über oder unter der Baseline.
  • Legen Sie Ihre Einstellungen der oberen und unteren Abweichung danach fest, wie „regelmäßig“ Ihre Ereignisquellen sich verhalten. D. h., wenn Sie keine oder nur wenig Abweichung in der Anzahl der Nachrichten erwarten, die in einem bestimmten Zeitraum eingehen (z. B. 8 bis 9 Uhr an einem Wochentag), können Sie einen niedrigen Wert für die Abweichung festlegen. Wenn Sie andererseits oft sehr hohe Abweichungen sehen, legen Sie den Abweichungswert höher fest.
  • Wenn Sie eine Policy aktivieren, aber keine Schwellenwerte festgelegt haben, können Sie dennoch automatische (Baseline-) Benachrichtigungen erhalten, sofern Sie automatische Warnmeldungen aktiviert haben.
You are here
Table of Contents > ESM: Informationen über Ereignisquellenmanagement > ESM: Automatische Warnmeldungen

Attachments

    Outcomes