Diminuez le seuil du nombre d'événements requis pour déclencher la règle.
Choisissez des discriminateurs de faible cardinalité (par ex., type de périphérique).
Si la cardinalité de votre discriminateur est faible (par ex., adresse IP source), diminuez le seuil du nombre d'événements requis pour déclencher la règle ainsi que la taille de la fenêtre de temps pour obtenir un résultat équivalent.
2.11.3 Évaluation court-circuit
Il est plus rapide de comparer des nombres que des chaînes et de comparer des chaînes que des expressions régulières. L'opération de filtrage effectue une évaluation court-circuit sur les expressions booléennes. En formulant votre expression attentivement, vous pouvez augmenter la vitesse d'évaluation.
2.11.4 Règles à format libre
S'il vous est impossible d'exprimer une règle de corrélation à l'aide de l'Assistant Règle de corrélation, créez une règle de format libre à l'aide du langage de règle de corrélation. Pour plus d'informations sur la création d'une règle de format libre, consultez la section “Moteur de corrélation” dans le guide de référence.
2.12 Fichiers journaux Sentinel
Il est recommandé de consulter périodiquement les fichiers journaux générés par Sentinel pour vérifier les éventuelles erreurs. Pour plus d'informations sur ces fichiers et leurs emplacements, reportez-vous à la section “Emplacements des journaux de Sentinel” dans le guide de référence.
Meilleures pratiques
43
44
Guide d'installation de Sentinel 6.0
