アップグレード ガイド11.4.1：UEBAインストール タスク

以下のセクションでは、NetWitness UEBAをインストールおよびアップグレードするためのタスクについて説明します。

• （オプション）UEBA構成の更新
• （オプション）パケット スキーマの追加
• （オプション）Endpointデータ ソースの有効化
• （オプション）UEBAインジケータ転送の有効化
• （必須）Airflow構成の更新

（オプション）UEBA構成の更新

UEBA構成の主要パラメータを取得するには、UEBAマシンで次のcurlコマンドを実行します。

curl http://localhost:8888/application-default.properties

次のような主要パラメータが返されます。

• uiIntegration.brokerId：NWデータ ソース（Broker/Concentrator）のサービスID。
• dataPipeline.schemas：UEBAによって処理されるスキーマのリスト。
• dataPipeline.startTime：UEBAがNetWitnessデータ ソースからデータの取得を開始した日付。
• outputForwarding.enableForwarding：UEBA転送のステータス。

（オプション）パケット スキーマの追加

NetWitness Platform 11.4がパケット収集を実行するように構成されている場合は、NetWitness UEBAにパケット スキーマを追加できます。

パケット スキーマを追加するには、UEBAサーバで次のコマンドを実行します。

curl -X PATCH http://localhost:8881/configuration -H 'content-type: application/json' -d '{"operations":[{"op":"add","path":"/dataPipeline/schemas/-","value":"TLS"}]}'

Hunting Packの追加

NetWitness Platformで、Hunting Packを追加するか、Hunting Packが使用可能であることを確認します。

1. NetWitness Platformにログインします。
2. ［管理］に移動し、［Admin Server］を選択します。
3. をクリックして、［構成］＞［Liveコンテンツ］を選択します。
   
4. 検索条件で、次の項目を選択します。
   1. ［リソース タイプ］で「Bundle」を選択します。
   2. ［対象］で「Packet」を選択します。
5. ［検索］をクリックします。
   一致するリソースのリストが表示されます。
6. リストから［Hunting Pack］を選択し、［導入］をクリックします。
   Hunting Packが追加されます。

JA3とJA3sの追加

JA3およびJA3sフィールドは、11.3.1以降のNetwork Decoderでサポートされています。Network Decoderが11.3.1以降のいずれかのバージョンにアップグレードされていることを確認します。

JA3およびJA3sを追加するには、次の手順を実行します。

1. NetWitness Platformにログインします。
2. ［管理］に移動し、Decoderサービスを選択します。
3. /decoder/parsers/config/parsers.optionsに移動します。
4. HTTPS="ja3=true ja3s=trueを追加します。
   JA3およびJA3sフィールドが構成されます。

（オプション）Endpointデータ ソースの有効化

NetWitness Platform 11.4でNetWitness Endpoint Serverが構成されている場合は、プロセスやレジストリなどのEndpointデータ ソースを有効にしてUEBAのアラートを生成できます。

Endpointデータ ソースを有効にするには、UEBAサーバで次のコマンドを実行します。

curl -X PATCH http://localhost:8881/configuration -H 'content-type:

application/json' -d '{"operations":

[{"op":"add","path":"/dataPipeline/schemas/-","value":"PROCESS"},

{"op":"add","path":"/dataPipeline/schemas/-","value":"REGISTRY"}]}'

（オプション）UEBAインジケータ転送の有効化

NetWitness Platform 11.4にNetWitness Respond Serverが構成されている場合、NetWitness UEBAのインジケータをNetWitness Respond ServerとCorrelation Serverに転送してインシデントを作成できます。

UEBAインジケータ転送を有効にするには、次のコマンドを実行します。

curl -X PATCH http://localhost:8881/configuration -H ', content-type: application/json' -d '{"operations": [{"op":"replace","path":"/outputForwarding/enableForwarding","value":true}]}'

［対応］ビューにインシデントを表示するには、次の手順を実行します。

1. NetWitness Platformにログインします。
2. ［構成］＞［インシデント ルール］に移動します。
3. ［User Entity Behavior Analytics］ルールのチェックボックスを選択し、有効化します。
   

（必須）Airflow構成の更新

NetWitness Platform 11.4.1にアップグレードした後、Airflow構成を更新してください。ただし、Airflow構成を更新する前に、次の手順を実行する必要があります。

• UEBAマシンからrootユーザとして次のスクリプトを実行します。
  python /var/netwitness/presidio/airflow/venv/lib/python2.7/site-packages/presidio_workflows-1.0-py2.7.egg/presidio/resources/rerun_ueba_server_config.py

Airflow構成を更新するには、次の手順を実行します。

1. Airflow WebサーバUI（https://<UEBA_host>/admin/）にアクセスして、ユーザ名とパスワードを入力します。

   注： Airflow WebサーバUIのユーザ名はadminで、パスワードはdeploy_Adminパスワードと同じです。

   注： フル フローDAGで、NetWitness Platform 11.3とNetWitness Platform 11.4の間で不整合のあるタスクには、赤い丸が表示されます。

   
   

2. presidio_upgrade_dag_from_11.*_to_11.4.0.1でをクリックして、フル フローDAGを一時停止します。

   注： このステップでは、開始日が27日前の新しいフル フローDAGが作成され、古いフル フローDAGが削除され、新しいフローDAGが開始されます。

3. DAGの更新が正常に完了すると、presidio_upgrade DAGタスクの［Recent Tasks］列に緑色の丸が表示されます。