アップグレード ガイド11.4.1:UEBAインストール タスク

Document created by RSA Information Design and Development Employee on Nov 2, 2020Last modified by RSA Information Design and Development Employee on Nov 2, 2020
Version 3Show Document
  • View in full screen mode
 

以下のセクションでは、NetWitness UEBAをインストールおよびアップグレードするためのタスクについて説明します。

(オプション)UEBA構成の更新

UEBA構成の主要パラメータを取得するには、UEBAマシンで次のcurlコマンドを実行します。

curl http://localhost:8888/application-default.properties

次のような主要パラメータが返されます。

  • uiIntegration.brokerId:NWデータ ソース(Broker/Concentrator)のサービスID。
  • dataPipeline.schemas:UEBAによって処理されるスキーマのリスト。
  • dataPipeline.startTime:UEBAがNetWitnessデータ ソースからデータの取得を開始した日付。
  • outputForwarding.enableForwarding:UEBA転送のステータス。

(オプション)パケット スキーマの追加

NetWitness Platform 11.4がパケット収集を実行するように構成されている場合は、NetWitness UEBAにパケット スキーマを追加できます。

パケット スキーマを追加するには、UEBAサーバで次のコマンドを実行します。

curl -X PATCH http://localhost:8881/configuration -H 'content-type: application/json' -d '{"operations":[{"op":"add","path":"/dataPipeline/schemas/-","value":"TLS"}]}'

Hunting Packの追加

NetWitness Platformで、Hunting Packを追加するか、Hunting Packが使用可能であることを確認します。

  1. NetWitness Platformにログインします。
  2. 管理]に移動し、[Admin Server]を選択します。
  3. をクリックして、[構成]>[Liveコンテンツ]を選択します。
  4. 検索条件で、次の項目を選択します。
    1. [リソース タイプ]で「Bundle」を選択します。
    2. [対象]で「Packet」を選択します。
  5. 検索]をクリックします。
    一致するリソースのリストが表示されます。
  6. リストから[Hunting Pack]を選択し、[導入]をクリックします。
    Hunting Packが追加されます。

JA3とJA3sの追加

JA3およびJA3sフィールドは、11.3.1以降のNetwork Decoderでサポートされています。Network Decoderが11.3.1以降のいずれかのバージョンにアップグレードされていることを確認します。

JA3およびJA3sを追加するには、次の手順を実行します。

  1. NetWitness Platformにログインします。
  2. 管理]に移動し、Decoderサービスを選択します。
  3. /decoder/parsers/config/parsers.optionsに移動します。
  4. HTTPS="ja3=true ja3s=trueを追加します。
    JA3およびJA3sフィールドが構成されます。

(オプション)Endpointデータ ソースの有効化

NetWitness Platform 11.4でNetWitness Endpoint Serverが構成されている場合は、プロセスやレジストリなどのEndpointデータ ソースを有効にしてUEBAのアラートを生成できます。

Endpointデータ ソースを有効にするには、UEBAサーバで次のコマンドを実行します。

curl -X PATCH http://localhost:8881/configuration -H 'content-type:

application/json' -d '{"operations":

[{"op":"add","path":"/dataPipeline/schemas/-","value":"PROCESS"},

{"op":"add","path":"/dataPipeline/schemas/-","value":"REGISTRY"}]}'

(オプション)UEBAインジケータ転送の有効化

NetWitness Platform 11.4にNetWitness Respond Serverが構成されている場合、NetWitness UEBAのインジケータをNetWitness Respond ServerとCorrelation Serverに転送してインシデントを作成できます。

UEBAインジケータ転送を有効にするには、次のコマンドを実行します。

curl -X PATCH http://localhost:8881/configuration -H ', content-type: application/json' -d '{"operations": [{"op":"replace","path":"/outputForwarding/enableForwarding","value":true}]}'

[対応]ビューにインシデントを表示するには、次の手順を実行します。

  1. NetWitness Platformにログインします。
  2. 構成]>[インシデント ルール]に移動します。
  3. User Entity Behavior Analytics]ルールのチェックボックスを選択し、有効化します。
    RespondのUEBAルールの選択

(必須)Airflow構成の更新

NetWitness Platform 11.4.1にアップグレードした後、Airflow構成を更新してください。ただし、Airflow構成を更新する前に、次の手順を実行する必要があります。

  • UEBAマシンからrootユーザとして次のスクリプトを実行します。
    python /var/netwitness/presidio/airflow/venv/lib/python2.7/site-packages/presidio_workflows-1.0-py2.7.egg/presidio/resources/rerun_ueba_server_config.py

Airflow構成を更新するには、次の手順を実行します。

  1. Airflow WebサーバUI(https://<UEBA_host>/admin/)にアクセスして、ユーザ名とパスワードを入力します。

    注: Airflow WebサーバUIのユーザ名はadminで、パスワードはdeploy_Adminパスワードと同じです。

    注: フル フローDAGで、NetWitness Platform 11.3とNetWitness Platform 11.4の間で不整合のあるタスクには、赤い丸が表示されます。


  2. presidio_upgrade_dag_from_11.*_to_11.4.0.1をクリックして、フル フローDAGを一時停止します。

    注: このステップでは、開始日が27日前の新しいフル フローDAGが作成され、古いフル フローDAGが削除され、新しいフローDAGが開始されます。

  3. DAGの更新が正常に完了すると、presidio_upgrade DAGタスクの[Recent Tasks]列に緑色の丸が表示されます。

You are here
Table of Contents > UEBAインストール タスク

Attachments

    Outcomes