Endpoint移行:ステップ

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

ここでは、NetWitness Endpoint 4.4.0.xをNetWitness Platform 11.3以降に移行するために必要なタスクについて説明します。

タスク1 - NetWitness Platformの導入を計画する

  1. Endpointアーキテクチャを確認し、エンドポイントの数、分布、場所、エージェントから収集されるデータに基づいて、次のいずれかの導入環境を選択します。詳細については、『導入ガイド』の「NetWitness Endpointアーキテクチャ」を参照してください。

    • 小規模導入環境。この環境にはNetWitness Server、Endpoint Log Hybrid、Event Stream Analysis(ESA)が含まれます。

    • 大規模導入環境。この環境には、NetWitness Server、Endpoint Log Hybrid(複数可)、ESA(複数可)が含まれます。

      複数のEndpoint Log Hybridを導入する場合は、Endpoint Brokerをインストールします。インストールすると、導入環境内の全Endpoint Serverに対して自動的にクエリを実行し、全Endpoint Serverのデータを一元的に表示します。

      注: RSAは、NetWitness BrokerホストにEndpoint Brokerをインストールすることを推奨しています。また、個別のホスト、NetWitness Server、Endpoint Log Hybrid上にもインストールできます。

  2. 既存のライセンスとハードウェアを確認し、必要に応じて調達します。

    導入環境に必要なハードウェアがあることを確認します。詳細については、『物理ホスト インストール ガイド』の「サポートされるハードウェア」を参照してください。

    NetWitness Endpoint 4.4.0.xの既存のライセンスがある場合、新しいライセンスを購入する必要はありません。NetWitness Endpoint 4.4.0.xの既存のライセンスは、NetWitness Platform 11.3以降のライセンスとして、別のシリアル/ライセンス番号が付けられ、myRSAから入手できます。

    詳細については、『ライセンス管理ガイド』を参照してください。

タスク2 - NetWitness Platform 11.3以降をセットアップする

  1. ファイアウォールでポートを構成します。詳細については、『導入ガイド』の「ネットワーク アーキテクチャとポート」を参照してください。

  2. 次のNetWitness Platformコンポーネントをインストールします。
    • NetWitness Server
    • Endpoint Log Hybrid

    • ESA
    • Endpoint Broker(Endpoint Log Hybridが複数の場合)

    詳細については、『物理ホスト インストール ガイド』を参照してください。

  3. NetWitness Endpoint 4.4.0.xのライセンスを持っている場合は、次の手順を実行します。

    • NetWitness Platformがある場合:既存のライセンス サーバにエンタイトルメントをマッピングします。

    • NetWitness Platformがない場合:

      a.NetWitness Platformをインストールします(「タスク2 - NetWitness Platform 11.3以降をセットアップする」を参照)

      b.ライセンス サーバIDを取得します

      c.エンタイトルメントをマッピングします

  4. ライセンスが[管理]>[システム]>[ライセンス]に反映されていることを確認します。

タスク3 - NetWitness PlatformにEndpointを構成する

  • RSA Liveアカウントを構成し、ファイル レピュテーション サービスが有効になっていることを確認します。詳細については、『Liveサービス管理ガイド』を参照してください。

  • ユーザを作成し、適切なロールを割り当てます。詳細については、『システム セキュリティとユーザ管理ガイド』を参照してください。
  • Endpoint Log HybridでEndpointメタの転送先を構成します。詳細については、『NetWitness Endpoint構成ガイド』を参照してください。

  • ESAルールを導入します。

    既存のNetWitness Endpoint 4.4.0.x IIOCは、標準のアプリケーション ルールとして提供され、インストール時に自動的に使用可能になります。

    ESA Correlation ServerにEndpoint Concentratorを構成し、リスク スコアを計算するESAコンテンツを導入する必要があります。詳細については、『ESA構成ガイド』を参照してください。

  • デフォルトのAgent Endpoint(EDR)ポリシーを確認し、必要に応じてグループを作成します。エージェントのログ収集を有効にする場合は、Windowsログ ポリシーを確認して適用します。

    詳細については、『NetWitness Endpoint構成ガイド』を参照してください。

タスク4 - NetWitness Endpoint 4.4.0.xの構成をインポートする

NetWitness Endpoint 4.4.0.xからNetWitness Platformにファイル ステータス、証明書ステータス、ブロックされたハッシュをインポートします。詳細については、「NetWitness Endpoint 4.4.0.xの構成をNetWitness Platformにインポート」を参照してください。

タスク5 - その他のNetWitness Endpoint 4.4.0.xの構成を追加する

次の構成は手動で追加する必要があります。

  • NetWitness Platformのユーザ インタフェースを使用して、IPアドレスのブラックリストなど、導入環境に必要なフィードをRSA Liveから導入します。

  • (オプション)ブラックリストに登録されたIPアドレス、ドメイン、チェックサムなど、エンドポイント メタデータへのタグ付けに使用したい外部脅威フィードがある場合は、『Liveサービス管理ガイド』の「カスタム フィードの作成」を参照してください。

    たとえば、ホストまたはファイルからブラックリストに登録されたIPアドレス、ドメイン、ハッシュへの通信をアナリストに通知するには、Log Decoderへのフィードを作成し、調査とアラートで該当するセッションにタグを追加します。

  • (オプション)カスタムIIOCを確認し、Endpointルールを作成します。詳細については、『NetWitness Endpoint構成ガイド』の「リスク評価のためのカスタムEndpointルール」を参照してください。

タスク6 - エージェントを導入する

  1. NetWitness Platform 11.3以降でエージェント パッケージを生成します。
  2. エージェント パッケージ(AgentPackager.zip)を任意のWindowsマシンにコピーして、11.3以降のエージェント インストーラを生成します。

  3. 4.4.0.xエージェントを11.3以降にアップグレードするには、次のいずれかを実行します。
    • NetWitness Endpoint 4.4.0.9 Console Serverをご使用の場合は、エージェント インストーラをNetWitness Endpoint Console Serverにコピーし、NetWitness Endpointのユーザ インタフェースからアップグレードします。

    • 4.4.0.0または4.4.0.8をご使用の場合は、エージェント インストーラをコピーして、サード パーティ製のソフトウェア配布ツールを使用します。

  4. エージェントを導入します。

詳細については、『NetWitness Endpointエージェント インストール ガイド』を参照してください。

タスク7 - エージェントの移行を検証する

エージェントの移行後に、次の点を検証します。

  • エージェントがEndpoint Serverと通信でき、[調査]>[ホスト]ビューに表示されている。

  • スキャンを実行し、[調査]>[ホストの詳細]ビューにスナップショットの詳細が表示されることを確認する。

  • ホストのメタデータが[調査]>[ナビゲート]ビューと[イベント]ビューに表示されている。

    ログ収集が有効になっている場合は、[ナビゲート]ビューと[イベント]ビューにWindowsログが表示されることを確認する。

  • ファイル レピュテーション、ファイル ステータス、リスク スコアが[ホスト]ビューと[ファイル]ビューに表示されている。

詳細については、『NetWitness Endpoint構成ガイド』を参照してください。

Previous Topic:はじめに
You are here
Table of Contents > NetWitness Endpoint 4.4.0.xをNetWitness Platformに移行

Attachments

    Outcomes