RSA NetWitness Platform 11.x UEBAクイック スタート ガイド

Document created by RSA Information Design and Development on Jun 28, 2019Last modified by RSA Link Team on Jul 24, 2019
Version 2Show Document
  • View in full screen mode

NetWitness UEBAとは?

 

RSA NetWitness UEBA(User and Entity Behavior Analytics)は、ネットワーク環境のすべてのユーザとエンティティから危険な行動を検知し、調査、監視するための高度な分析ソリューションです。NetWitness UEBAは次の機能を提供します。

 

  • 悪意のあるユーザや不正ユーザの検知
  • リスクの高い行動の特定
  • 攻撃の発見
  • 新しいセキュリティ脅威の調査
  • 潜在的な攻撃者のアクティビティの識別

 

本書について

 

このガイドでは、NetWitness Platform UEBAを構成し、UEBAの機能を使用するためのエンドツーエンドの手順を説明します。

 

RSA Link上のRSA NetWitness Platform 11.3のドキュメント

 

NetWitness Platformの製品ドキュメントは、機能ラインに沿って編成されています。特定のガイドまたはバージョンをお探しの場合は、「バージョン11.x マスター目次」を参照してください。

 

RSA NetWitness Platform 11.3のドキュメントは次のリンクからアクセスできます。同じドキュメントが2つの形式で提供されます。

 

 

ソフトウェアのバージョンに関係ないドキュメントは次のリンクからアクセスできます。

 

 

はじめに

 

次のタスクは、任意の順序で実行できます。

 

説明参考情報

    

製品の更新、改善、既知の問題に関する情報を確認します。

リリース ノート

NetWitness UEBAを理解します。

RSA NetWitness UEBAユーザ ガイド

 

セットアップとインストール

 

スタンドアロン インストール

 

次のタスクは、ここに記載された順序で実行する必要があります。

 

説明参考情報

    

サポート対象のハードウェアを確認します。UEBAスタンドアロン インストール ガイド』の「システム要件」 トピック
UEBAの導入について理解します。UEBAスタンドアロン インストール ガイド』の「RSA NetWitness UEBAスタンドアロン インストール」トピック
ファイアウォールでポートを構成します。UEBAスタンドアロン インストール ガイド』の「RSA NetWitness UEBAスタンドアロン インストール」トピック

NetWitness Serverホストをインストールします。

UEBAスタンドアロン インストール ガイド』の「インストール タスク」 トピック

11.3 Log Hybridホストをインストールします。

UEBAスタンドアロン インストール ガイド』の「インストール タスク」 トピック

NetWitness UEBAをインストールして構成します。UEBAスタンドアロン インストール ガイド』の「インストール タスク」 トピック

UEBA_AnalystsロールとAnalystsロールをUEBAユーザに割り当てます。

システム セキュリティとユーザ管理ガイド 』の「ロールの権限」

 

新規インストール

 

次のタスクは、ここに記載された順序で実行する必要があります。

 

説明参考情報

    

サポート対象のハードウェアを確認します。

物理ホスト インストール ガイド』の「サポート対象のハードウェア」

UEBAのアーキテクチャを理解します。

導入ガイド』の「NetWitness Platformネットワーク アーキテクチャ図」トピック

ファイアウォールでポートを構成します。

導入ガイド』の「ネットワーク アーキテクチャとポート」トピック

NetWitness Serverホストおよびその他のコンポーネントをインストールします。

物理ホスト インストール ガイド』の「タスク1:NetWitness Server(NW Server)ホストへの11.3のインストール」および「タスク2:その他のコンポーネント ホストへの11.3のインストール」

仮想ホスト インストール ガイド』の「仮想環境でのNetWitness Platform仮想ホストのインストール」

UEBAをインストールします。

物理ホスト インストール ガイド』の「RSA NetWitness® UEBA」

UEBA_AnalystsロールとAnalystsロールをUEBAユーザに割り当てます。

システム セキュリティとユーザ管理ガイド』の「ロールの権限」

 

更新

 

次のタスクは、ここに記載された順序で実行する必要があります。

 

説明参考情報

    

RSA LiveからEndpoint Packを導入します。これには

UEBAとEndpointを統合するためのFile Category Lua Parserが含まれます。

導入時には、Endpoint Log Hybrid Log Decoderサービスを指定する必要があります。複数のEndpoint Serverがある場合は、すべてのEndpoint Log Hybrid Log Decoderサービスを選択します。

プロセスやレジストリなどのエンドポイント データ ソースを有効化して、UEBAでアラートを生成します。

更新ガイド」の「エンドポイント データ ソースの有効化」
UEBAインジケータ フォワーダを有効化して UEBAインジケータをNetwitness Respond ServerとCorrelation Serverに転送し、 インシデントを作成します。

更新ガイド」の「UEBAインジケータ フォワーダの有効化」

NetWitness Platform 11.3に更新した後、BrokerまたはConcentratorのUUIDが変更されます。NetWitness Platformコア サービスを更新し、BrokerまたはConcentratorのUUIDを更新する必要があります。

更新ガイド」の「BrokerまたはConcentratorのUUIDの更新」

Airflow構成を更新します。

更新ガイド」の「Airflow構成の更新」

presidio_upgrade DAGが正常に完了したら、Airflowスケジューラ サービスを再起動します。

更新ガイド」の「Airflowスケジューラ サービスの再起動」

 

調査

 

次のタスクは、任意の順序で実行できます。

 

説明参考情報

高リスク ユーザを調査します。RSA NetWitness UEBAユーザ ガイド』の「高リスク ユーザの調査」トピック
上位アラートを調査します。RSA NetWitness UEBAユーザ ガイド』の「上位アラートの調査」トピック

 

監視

 

次のタスクは、任意の順序で実行できます。

 

説明参考情報

ヘルス モニタでNetWitness UEBAのメトリックを確認します。RSA NetWitness UEBAユーザ ガイド』の「ヘルス モニタでのNetWitness UEBAメトリックの表示」トピック
UEBAの稼働状態を監視します。RSA NetWitness UEBAユーザ ガイド』の「ヘルス モニタでのUEBAの監視」トピック

 

You are here

Table of Contents > QuickStart

Attachments

    Outcomes