Agrupamento de alertas baseado em tráfego de rede

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura

    • O método de agrupamento de alertas baseado em tráfego de rede agrupa alertas analisando as conexões de tráfego de rede entre processos em hosts. Ele aproveita os candidatos a serviço identificados pelo Mapeamento de serviços de ML para agrupar alertas relacionados a problemas de tráfego de rede. Isso garante que os alertas de processos conectados diretamente no mesmo candidato a serviço sejam agrupados, oferecendo uma exibição mais contextual dos incidentes de rede.

    Os candidatos a serviço são coleções potenciais de processos em seu ambiente de TI que são identificados com base em suas conexões de rede e interações. Eles representam diferentes serviços ou funções que seus sistemas de TI fornecem, mesmo que não estejam totalmente detalhados no banco de dados de configuração do sistema. Por exemplo, os candidatos a serviço podem agrupar todos os processos envolvidos na entrega de e-mail, mesmo se os detalhes de configuração estiverem incompletos.

    O Mapeamento de serviços de ML usa aprendizado de máquina para descobrir e mapear automaticamente esses candidatos a serviço. Ele identifica como diferentes processos e componentes são conectados e agrupados com base no tráfego de rede e nas interações. Isso ajuda a entender e organizar os serviços de TI e seus componentes, facilitando o gerenciamento e a solução de problemas. Por exemplo, o Mapeamento de serviços de ML pode identificar e mapear automaticamente as conexões entre servidores de e-mail e clientes de e-mail com base em suas interações de rede.

    Nota:
    O agrupamento de alertas baseado no tráfego de rede está habilitado para novos clientes a partir da versão Yokohama. Os clientes existentes precisam habilitar a propriedade Habilitar correlação de tráfego de rede (sa_analytics.agg.query_network_traffic_correlation_enabled) manualmente.

    Como funciona

    • Identificação do host: alertas relacionados a problemas de rede são gerados de várias origens.
    • Identificação de contexto de rede: o processo de correlação usa resultados de descoberta horizontal e Mapeamento de serviços de ML para identificar os candidatos a serviço e as conexões de rede mais relevantes.

      Este processo usa os resultados do trabalho programado Gestão de eventos - Preencher processo de candidato a serviço para mapeamento de processos - Diariamente, que é executado uma vez por dia e é usado para armazenar conexões entre processos para ICs do host no formato exigido pelo algoritmo de agrupamento de alertas .

    • Agrupamento de alertas: os alertas são agrupados com base em conexões diretas entre processos no contexto do mesmo candidato a serviço. O agrupamento é atualizado em tempo real conforme novos alertas são recebidos.

    Benefícios

    • Precisão aprimorada: ao aproveitar as conexões de tráfego de rede e os candidatos a serviço, este método fornece alta precisão no agrupamento de alertas, minimizando falsos positivos.
    • Cobertura aprimorada: agrupa alertas com eficácia, mesmo em ambientes com baixa maturidade do CMDB, abrangendo uma variedade maior de alertas e problemas.
    • Resolução simplificada: as equipes de TI podem identificar e resolver rapidamente problemas relacionados em massa, reduzindo o volume de alertas para gerenciar e melhorando a eficiência operacional.