Endpoint移行：ステップ

ここでは、NetWitness Endpoint 4.4.0.xをNetWitness Platform 11.3以降に移行するために必要なタスクについて説明します。

タスク1 - NetWitness Platformの導入を計画する

1. Endpointアーキテクチャを確認し、エンドポイントの数、分布、場所、エージェントから収集されるデータに基づいて、次のいずれかの導入環境を選択します。詳細については、『導入ガイド』の「NetWitness Endpointアーキテクチャ」を参照してください。

   • 小規模導入環境。この環境にはNetWitness Server、Endpoint Log Hybrid、Event Stream Analysis（ESA）が含まれます。

   • 大規模導入環境。この環境には、NetWitness Server、Endpoint Log Hybrid（複数可）、ESA（複数可）が含まれます。

     複数のEndpoint Log Hybridを導入する場合は、Endpoint Brokerをインストールします。インストールすると、導入環境内の全Endpoint　Serverに対して自動的にクエリを実行し、全Endpoint Serverのデータを一元的に表示します。

     注： RSAは、NetWitness BrokerホストにEndpoint Brokerをインストールすることを推奨しています。また、個別のホスト、NetWitness Server、Endpoint Log Hybrid上にもインストールできます。

2. 既存のライセンスとハードウェアを確認し、必要に応じて調達します。

   導入環境に必要なハードウェアがあることを確認します。詳細については、『物理ホスト インストール ガイド』の「サポートされるハードウェア」を参照してください。

   NetWitness Endpoint 4.4.0.xの既存のライセンスがある場合、新しいライセンスを購入する必要はありません。NetWitness Endpoint 4.4.0.xの既存のライセンスは、NetWitness Platform 11.3以降のライセンスとして、別のシリアル/ライセンス番号が付けられ、myRSAから入手できます。

   詳細については、『ライセンス管理ガイド』を参照してください。

タスク2 - NetWitness Platform 11.3以降をセットアップする

1. ファイアウォールでポートを構成します。詳細については、『導入ガイド』の「ネットワーク アーキテクチャとポート」を参照してください。

2. 次のNetWitness Platformコンポーネントをインストールします。
   • NetWitness Server

   • Endpoint Log Hybrid

   • ESA
   • Endpoint Broker（Endpoint Log Hybridが複数の場合）

   詳細については、『物理ホスト インストール ガイド』を参照してください。

3. NetWitness Endpoint 4.4.0.xのライセンスを持っている場合は、次の手順を実行します。

   • NetWitness Platformがある場合：既存のライセンス サーバにエンタイトルメントをマッピングします。

   • NetWitness Platformがない場合：

     a.NetWitness Platformをインストールします（「タスク2 - NetWitness Platform 11.3以降をセットアップする」を参照）

     b.ライセンス サーバIDを取得します

     c.エンタイトルメントをマッピングします

4. ライセンスが［管理］＞［システム］＞［ライセンス］に反映されていることを確認します。

タスク3 - NetWitness PlatformにEndpointを構成する

• RSA Liveアカウントを構成し、ファイル レピュテーション サービスが有効になっていることを確認します。詳細については、『Liveサービス管理ガイド』を参照してください。

• ユーザを作成し、適切なロールを割り当てます。詳細については、『システム セキュリティとユーザ管理ガイド』を参照してください。

• Endpoint Log HybridでEndpointメタの転送先を構成します。詳細については、『NetWitness Endpoint構成ガイド』を参照してください。

• ESAルールを導入します。

  既存のNetWitness Endpoint 4.4.0.x IIOCは、標準のアプリケーション ルールとして提供され、インストール時に自動的に使用可能になります。

  ESA Correlation ServerにEndpoint Concentratorを構成し、リスク スコアを計算するESAコンテンツを導入する必要があります。詳細については、『ESA構成ガイド』を参照してください。

• デフォルトのAgent Endpoint（EDR）ポリシーを確認し、必要に応じてグループを作成します。エージェントのログ収集を有効にする場合は、Windowsログ ポリシーを確認して適用します。

  詳細については、『NetWitness Endpoint構成ガイド』を参照してください。

タスク4 - NetWitness Endpoint 4.4.0.xの構成をインポートする

NetWitness Endpoint 4.4.0.xからNetWitness Platformにファイル ステータス、証明書ステータス、ブロックされたハッシュをインポートします。詳細については、「NetWitness Endpoint 4.4.0.xの構成をNetWitness Platformにインポート」を参照してください。

タスク5 - その他のNetWitness Endpoint 4.4.0.xの構成を追加する

次の構成は手動で追加する必要があります。

• NetWitness Platformのユーザ インタフェースを使用して、IPアドレスのブラックリストなど、導入環境に必要なフィードをRSA Liveから導入します。

• （オプション）ブラックリストに登録されたIPアドレス、ドメイン、チェックサムなど、エンドポイント メタデータへのタグ付けに使用したい外部脅威フィードがある場合は、『Liveサービス管理ガイド』の「カスタム フィードの作成」を参照してください。

  たとえば、ホストまたはファイルからブラックリストに登録されたIPアドレス、ドメイン、ハッシュへの通信をアナリストに通知するには、Log Decoderへのフィードを作成し、調査とアラートで該当するセッションにタグを追加します。

• （オプション）カスタムIIOCを確認し、Endpointルールを作成します。詳細については、『NetWitness Endpoint構成ガイド』の「リスク評価のためのカスタムEndpointルール」を参照してください。

タスク6 - エージェントを導入する

1. NetWitness Platform 11.3以降でエージェント パッケージを生成します。

2. エージェント パッケージ（AgentPackager.zip）を任意のWindowsマシンにコピーして、11.3以降のエージェント インストーラを生成します。

3. 4.4.0.xエージェントを11.3以降にアップグレードするには、次のいずれかを実行します。

   • NetWitness Endpoint 4.4.0.9 Console Serverをご使用の場合は、エージェント インストーラをNetWitness Endpoint Console Serverにコピーし、NetWitness Endpointのユーザ インタフェースからアップグレードします。

   • 4.4.0.0または4.4.0.8をご使用の場合は、エージェント インストーラをコピーして、サード パーティ製のソフトウェア配布ツールを使用します。

4. エージェントを導入します。

詳細については、『NetWitness Endpointエージェント インストール ガイド』を参照してください。

タスク7 - エージェントの移行を検証する

エージェントの移行後に、次の点を検証します。

• エージェントがEndpoint Serverと通信でき、［調査］＞［ホスト］ビューに表示されている。

• スキャンを実行し、［調査］＞［ホストの詳細］ビューにスナップショットの詳細が表示されることを確認する。

• ホストのメタデータが［調査］＞［ナビゲート］ビューと［イベント］ビューに表示されている。

  ログ収集が有効になっている場合は、［ナビゲート］ビューと［イベント］ビューにWindowsログが表示されることを確認する。

• ファイル レピュテーション、ファイル ステータス、リスク スコアが［ホスト］ビューと［ファイル］ビューに表示されている。

詳細については、『NetWitness Endpoint構成ガイド』を参照してください。