アップグレード ガイド11.4:UEBAインストール タスク

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

以下のセクションでは、NetWitness UEBAをインストールおよびアップグレードするためのタスクについて説明します。

(オプション)パケット スキーマの追加

NetWitness Platform 11.4がパケット収集を実行するように構成されている場合は、NetWitness UEBAにパケット スキーマを追加できます。

パケット スキーマを追加するには、UEBAサーバで次のコマンドを実行します。

curl -X PATCH http://localhost:8881/configuration -H 'content-type: application/json' -d '{"operations":[{"op":"add","path":"/dataPipeline/schemas/-","value":"TLS"}]}'

UEBAによって処理されるスキーマを表示するには、Airflowメイン ページ(https://<UEBAホスト>/admin)にアクセスします。このページには、処理されるスキーマが表示されます。

スキーマまたはデータ ソースを変更するには、DAGのアップグレードを実行する前に、次のスクリプトを実行します。

/opt/rsa/saTools/bin/ueba-server-config

UEBAによって処理されるデータ ソースを確認するには、UEBAサーバで次のコマンドを実行して、NetWitness Platformデータ ソースを取得します。
curl http://localhost:8888/application-presidio-default.properties

次のコマンドを使用して、NetWitness Platformデータ ソースを取得することもできます。
curl http://localhost:8888/application-presidio-default.properties | grep 'dataPulling.source'

Hunting Packの追加

NetWitness Platformで、Hunting Packを追加するか、Hunting Packが使用可能であることを確認します。

  1. NetWitness Platformにログインします。
  2. 管理]に移動し、[Admin Server]を選択します。
  3. をクリックして、[構成]>[Liveコンテンツ]を選択します。
  4. 検索条件で、次の項目を選択します。
    1. [リソース タイプ]で「Bundle」を選択します。
    2. [対象]で「Packet」を選択します。
  5. 検索]をクリックします。
    一致するリソースのリストが表示されます。
  6. リストから[Hunting Pack]を選択し、[導入]をクリックします。
    Hunting Packが追加されます。

JA3とJA3sの追加

JA3およびJA3sフィールドは、11.3.1以降のNetwork Decoderでサポートされています。Network Decoderが11.3.1以降のいずれかのバージョンにアップグレードされていることを確認します。

JA3およびJa3sを追加するには、次の手順を実行します。

  1. NetWitness Platformにログインします。
  2. 管理]に移動し、Decoderサービスを選択します。
  3. /decoder/parsers/config/parsers.optionsに移動します。
  4. HTTPS="ja3=true ja3s=trueを追加します。
    JA3およびJA3sフィールドが構成されます。

Airflow構成の更新

NetWitness Platform 11.4にアップグレードした後、Airflow構成を更新してください。
Airflow構成を更新するには、次の手順を実行します。

  1. Airflow WebサーバUI(https://<UEBA_host>/admin/)にアクセスして、ユーザ名とパスワードを入力します。

    注: Airflow WebサーバUIのユーザ名はadminで、パスワードはdeploy_Adminのパスワードと同じです。

    注: フル フローDAGで、NetWitness Platform 11.3とNetWitness Platform 11.4の間で不整合のあるタスクには、赤い丸が表示されます。


  2. presidio_upgrade_dag_from_11.3.0.0_to_11.4.0.0 DAGをクリックして、フル フローDAGを一時停止します。

    注: このステップでは、開始日が27日前の新しいフル フローDAGが作成され、古いフル フローDAGが削除され、新しいフローDAGが開始されます。

    注: UEBAシステムにデータがあるかどうかを確認するには、UEBAサーバでwgetコマンドを実行します。UEBAシステムにデータがない場合は、RSAカスタマ サポートにお問い合わせください。

  3. DAGの更新が正常に完了すると、presidio_upgrade DAGタスクの[Recent Tasks]列に緑色の丸が表示されます。

注: 11.2.x.xからアップグレードする場合は、「11.2.x.xからのUEBAのアップグレード手順」の手順をこのタイミングで実行し、その後で、次の説明に従ってAirflow Scheduleサービスを再起動します。

Airflow Schedulerサービスの再起動

presidio_upgrade DAGの処理が成功したら、Airflow Schedulerサービスを再起動する必要があります。

注: presidio_upgrade DAGが成功すると、そのDAGの[Recent Tasks]列に濃い緑色の丸が表示されます。

Airflow Schedulerサービスを再起動するには、UEBAサーバで次のコマンドを実行します。
systemctl restart airflow-scheduler

11.2.x.xからのUEBAのアップグレード手順

(オプション)UEBAインジケータ転送の有効化

NetWitness Platform 11.4にNetWitness Respond Serverが構成されている場合、NetWitness UEBAのインジケータをNetWitness Respond ServerとCorrelation Serverに転送してインシデントを作成できます。

UEBAインジケータ転送を有効にするには、次のコマンドを実行します。

curl -X PATCH http://localhost:8881/configuration -H ', content-type: application/json' -d '{"operations": [{"op":"replace","path":"/outputForwarding/enableForwarding","value":true}]}'

[対応]ビューにインシデントを表示するには、次の手順を実行します。

  1. NetWitness Platformにログインします。
  2. 構成]>[インシデント ルール]に移動します。
  3. User Entity Behavior Analytics]ルールチェックボックスを選択し、有効化します。
    RespondのUEBAルールの選択

(オプション)Endpointデータ ソースの有効化

NetWitness Platform 11.4でNetWitness Endpoint Serverが構成されている場合は、プロセスやレジストリなどのEndpoint データ ソースを有効にしてUEBAのアラートを生成できます。

Endpointデータ ソースを有効にするには、UEBAサーバで次のコマンドを実行します。

curl -X PATCH http://localhost:8881/configuration -H 'content-type:

application/json' -d '{"operations":

[{"op":"add","path":"/dataPipeline/schemas/-","value":"PROCESS"},

{"op":"add","path":"/dataPipeline/schemas/-","value":"REGISTRY"}]}'

You are here
Table of Contents > UEBAインストール タスク

Attachments

    Outcomes