Решение по мониторингу работоспособности компонентов системы ArcSight
-
В процессе работы системы мониторинга может возникать большое количество нештатных ситуаций, например:
- правила уходят в рекурсию в случае резкого увеличения количества целевых событий;
- отключается оповещение администраторов в случае превышения предела количества заданных инцидентов;
- часть событий с коннекторов теряется в случае ошибок, связанных с неправильной настройкой коннектора или появлением новых типов событий;
- часть данных в событиях теряется в случае неправильной настройки агрегации событий;
- происходит временное отключение коннекторов в случае проблем с памятью или доступом к целевым системам;
- в часы пиковых нагрузок происходит переполнение кэша, что приводит к потере части событий;
- происходит переполнение активных листов, что приводит к некорректной работе корреляционных правил.
Это решение дает возможность контролировать источники разных клиентов, раннее детектирование ошибок на коннекторах и выявления проблем мониторинга в режиме реального времени.
Основным компонентом решения является набор корреляционных правил.
Правила охватывают весь спектр событий, относящихся к нарушениям корректной работы системы мониторинга. Некоторые группы и примеры правил представлены в таблице.
| № | Группа правил | Примеры правила |
| 1 | Ресурсы |
• Удаление ресурса • Изменение ресурса в нерабочее время • Изменение ресурса нелегитимным пользователем |
| 2 | Активные каналы | • Медленная загрузка активного канала |
| 3 | Активные листы | • Переполнение активного листа |
| 4 | Архивы |
• Ошибка создания архива • Ошибка активации архива |
| 5 | Аутентификация |
• 3 попытки неудачной аутентификации • Попытка аутентификации удаленного пользователя |
| 6 | Коннекторы |
• Остановка критичного коннектора • Нет данных с коннектора в течении заданного времени • Ошибки разбора событий • Переполнение кэша коннектора • Ошибки подключения к целевым источникам |
| 7 | Мониторы данных |
• Критичное увеличение фиксируемых событий • Отключение монитора данных |
| 8 | Лицензии |
• Нарушение лицензионной политики (количество событий) • Нарушение лицензионной политики (количество ресурсов) |
| 9 | Менеджер |
• Останов менеджера • Останов сбора событий менеджером • Критичная загрузка менеджера |
| 10 | Нотификации |
• Превышение заданного количества отправленных сообщений в единицу времени • Отключение нотификации • Множественные неудачные попытки доставки сообщений |
| 11 | Правила |
• Отключение критичного правила • Правило уходит в рекурсию • Превышение критичного предела срабатывания правила в единицу времени |
| 12 | Запуск по расписанию | • Ошибка выполнения задачи по расписанию |
| 13 | Пользователи |
• Создание нового пользователя • Перемещение пользователя в группу администраторов |
Ниже представлены примеры некоторых информационных панелей:
Рисунок 1 - Графическая панель (Dashboard) – Основные данные об ошибках
Рисунок 2 - Графическая панель (Dashboard) – Контроль компонентов SIEM