+7 499 499-13-08      

Решение по мониторингу работоспособности компонентов системы ArcSight


    В процессе работы системы мониторинга может возникать большое количество нештатных ситуаций, например:
    - правила уходят в рекурсию в случае резкого увеличения количества целевых событий;
    - отключается оповещение администраторов в случае превышения предела количества заданных инцидентов;
    - часть событий с коннекторов теряется в случае ошибок, связанных с неправильной настройкой коннектора или появлением новых типов событий;
    - часть данных в событиях теряется в случае неправильной настройки агрегации событий;
    - происходит временное отключение коннекторов в случае проблем с памятью или доступом к целевым системам;
    - в часы пиковых нагрузок происходит переполнение кэша, что приводит к потере части событий;
    - происходит переполнение активных листов, что приводит к некорректной работе корреляционных правил.
    Это решение дает возможность контролировать источники разных клиентов, раннее детектирование ошибок на коннекторах и выявления проблем мониторинга в режиме реального времени.
    Основным компонентом решения является набор корреляционных правил.
    Правила охватывают весь спектр событий, относящихся к нарушениям корректной работы системы мониторинга. Некоторые группы и примеры правил представлены в таблице.

    Группа правилПримеры правила
    1Ресурсы • Удаление ресурса
    • Изменение ресурса в нерабочее время
    • Изменение ресурса нелегитимным пользователем
    2Активные каналы • Медленная загрузка активного канала
    3Активные листы • Переполнение активного листа
    4Архивы • Ошибка создания архива
    • Ошибка активации архива
    5Аутентификация • 3 попытки неудачной аутентификации
    • Попытка аутентификации удаленного пользователя
    6Коннекторы • Остановка критичного коннектора
    • Нет данных с коннектора в течении заданного времени
    • Ошибки разбора событий
    • Переполнение кэша коннектора
    • Ошибки подключения к целевым источникам
    7Мониторы данных • Критичное увеличение фиксируемых событий
    • Отключение монитора данных
    8Лицензии • Нарушение лицензионной политики (количество событий)
    • Нарушение лицензионной политики (количество ресурсов)
    9Менеджер • Останов менеджера
    • Останов сбора событий менеджером
    • Критичная загрузка менеджера
    10Нотификации • Превышение заданного количества отправленных сообщений в единицу времени
    • Отключение нотификации
    • Множественные неудачные попытки доставки сообщений
    11Правила • Отключение критичного правила
    • Правило уходит в рекурсию
    • Превышение критичного предела срабатывания правила в единицу времени
    12Запуск по расписанию • Ошибка выполнения задачи по расписанию
    13Пользователи • Создание нового пользователя
    • Перемещение пользователя в группу администраторов


    Ниже представлены примеры некоторых информационных панелей:



    Рисунок 1 - Графическая панель (Dashboard) – Основные данные об ошибках



    Рисунок 2 - Графическая панель (Dashboard) – Контроль компонентов SIEM


Ⓒ ATБ ast-security.ru