アップグレード ガイド11.4:アップグレード後のタスク

Document created by RSA Information Design and Development Employee on Nov 2, 2020
Version 1Show Document
  • View in full screen mode
 

このトピックは、2つのセクションに分かれています。アップグレード パスに応じて、次のいずれかのセクションのタスクを完了してください。

11.4にアップグレードした後、11.4の新機能を利用する場合は、11.4の各インストール ガイドに記載されている「インストール後の手順」を参照してください。RSA NetWitness Platform 11.xのすべてのドキュメントの一覧を、 総合目次 で確認できます。

11.3.x.xからアップグレードする場合のアップグレード後のタスク

11.3.x.xから11.4にアップグレードする場合は、このセクションのすべてのタスクを実行します。

全般

タスク1:サービスの再起動、データ収集、データ集計の確認

サービスが再起動され、データを収集していることを確認します(これは、自動開始が有効になっているかどうかによって異なります)。

必要に応じて、次のサービスでデータの収集と集計を再開します。

  • Decoder
  • Log Decoder
  • Broker
  • Concentrator
  • Archiver

ネットワーク収集の開始

  1. NetWitness Platformメニューで、[管理]>[サービス]に移動します。
    [サービス]ビューが表示されます。
  2. Decoderサービスを選択します。
  3. (アクション)で、[表示]>[システム]を選択します。

  4. ツールバーでをクリックします。

ログ収集の開始

    1. NetWitness Platformメニューで、[管理]>[サービス]に移動します。
      [サービス]ビューが表示されます。
    2. Log Decoderサービスを選択します。
    3. (アクション)で、[表示]>[システム]を選択します。
    4. ツールバーでをクリックします。
  • 集計の開始

    1. NetWitness Platformメニューで、[管理]>[サービス]を選択します。

      [サービス]ビューが表示されます。

    2. ConcentratorBrokerArchiverの各サービスに対して、以下の手順を実行します。

      1. サービスを選択します。
      2. (アクション)で、[表示]>[構成]を選択します。
      3. ツールバーでをクリックします。

    Event Stream Analysis

    注: これらのEvent Stream Analysis(ESA)タスクは、11.3.x.xからアップグレードする場合に実行します。

    タスク2:ESAルール導入環境のステータスの確認

    ESAルール導入環境のステータスを確認します。

    1. 構成]>[ESAルール]>[サービス]タブに移動します。
      [サービス]ビューが表示され、ESAサービスと導入環境のステータスが示されます。
    2. 左側の[オプション]パネルで、ESAサービスを選択します。
    3. リスト内の各サービスを選択し、右側のパネルで導入環境のタブを確認します。各タブは、個別のESAルール導入環境を表しています。
    4. ESAルール導入環境ごとに、次の手順を実行します。
      1. ESAエンジンの統計情報]セクションで、[検出イベント数]と[検出レート]の値を確認します。これらの統計から、データの集計と分析が適切に行われていることを確認できます。[検出イベント数]の値が0の場合は、導入環境がデータを受信していません。
      2. ルールの統計情報]セクションで、[有効なルール]と[無効なルール]の値を確認します。無効なルールがある場合は、その下の[導入されたルールの統計統計]セクションで無効なルールの詳細を確認します。無効なルールには、白い丸が表示されます。有効なルールには、緑色の丸が表示されます。

      [ESAルール サービス]ビュー:ESAルール導入環境のステータスを確認

    5. 無効なルールを有効化する必要がある場合は、次の手順を実行します。
      1. 構成]>[ESAルール]>[ルール]タブに移動し、無効なルールを含んでいるESAルール導入環境を再導入します。
      2. サービス]タブに戻り、ルールが無効かどうかを確認します。ルールがまだ無効な場合は、/var/log/netwitness/correlation-server/correlation-server.logにあるESA Correlationサービスのログ ファイルを確認します。

    タスク3:(オプション)最新のエンドポイント、UEBA、RSA Liveコンテンツ ルールのために、Multi-ValuedパラメータとSingle-Valuedパラメータのメタ キーを更新

    注: 11.3.0.2、11.3.1.1、11.3.2へのアップグレード時にこのタスクを完了した場合、再度実行する必要はありません。

    最新のエンドポイント、UEBA、Liveコンテンツ ルールを使用するには、ESA Correlationサービスのmulti-valuedパラメータを更新して、default-multi-valuedパラメータに含まれるすべてのメタ キーを追加する必要があります。また、single-valuedパラメータを更新し、default-single-valuedパラメータに含まれるすべてのメタ キーを追加する必要があります。

    multi-valuedパラメータには、ESAルールが使用する文字列配列型のメタ キーが表示されます。このパラメータは、NetWitness Platformバージョン11.2以前のEvent Stream AnalysisサービスのArrayFieldNamesパラメータに相当します。

    注意: multi-valuedパラメータを変更すると、既存のルールを導入するときにエラーが発生する可能性があります。multi-valuedパラメータを更新して、メタ キーを再同期し、ESAルールを適宜更新できます。一度に報告されるエラーの数を減らすため、一度に追加するメタ キーは2つまでにしてください。

    注: ESA Correlationサービスのエラー ログに警告メッセージが表示される場合は、default-multi-valuedパラメータとmulti-valuedパラメータのメタ キーの値に差異があるため、新しいエンドポイント、UEBA、Liveコンテンツ ルールが機能しません。この手順を完了すると、この問題は解決します。警告メッセージの例については、「メタ キーの不足に関するESA Correlationサーバの警告メッセージの例」を参照してください。

    1. 11.4にアップグレードした後、[管理]>[サービス]に移動します。[サービス]ビューでESA Correlationサービスを選択してから>[表示]>[エクスプローラ]を選択します。
    2. ESA Correlationサービスの[エクスプローラ]ビューのノード リストで、[correlation]>[stream]を選択します。
    3. multi-valuedパラメータのメタ キーと、default-multi-valuedパラメータのメタ キーを比較します。不足している文字列配列型のメタ キーをdefault-multi-valuedパラメータからコピーして、multi-valuedパラメータにペーストします(一度に報告されるエラーの数を減らすため、一度に追加するメタ キーは2つまでにしてください)。
    4. 文字列型のメタ キーをdefault-single-valuedパラメータからコピーして、single-valuedパラメータにペーストします。
    5. ESA Correlationサービスに変更を適用します。
    6. [構成]>[ESAルール]に移動し、[設定]タブをクリックします。
      • [メタ キー参照]で、メタ再同期(更新)アイコン(メタ再同期(更新)アイコン)をクリックします。
      • 複数のESA Correlationサービスがある場合は、各ESA Correlationサービスで同じメタ キーの変更を行います。
    7. ESA詳細ルールでdefault-multi-valuedまたはdefault-single-valuedのいずれかのメタ キーを使用している場合は、ルール構文を更新します。「タスク4.(オプション)カスタムESAルール ビルダ ルールおよびESA詳細ルールの調整」も参照してください。
    8. default-multi-valuedパラメータのメタ キーをESAルール通知テンプレートで使用している場合は、テンプレートを更新し、メタ キーの変更を反映します。『システム構成ガイド』の「グローバル通知テンプレートの構成」を参照してください。
    9. ESAルール導入環境を導入します。
    10. ESAルール導入環境の[ESAルール]セクションでルールのエラー メッセージを確認するか、ESA Correlationサービスのエラー ログでエラーがないか確認します。
      • ESAルール導入環境のエラー メッセージを確認するには、[構成]>[ESAルール]>[ルール]タブに移動して、左側のオプション パネルで導入環境を選択し、[ESAルール]セクションを確認します。
      • ESA Correlationサービスのログにアクセスするには、SSHを使用してシステムに接続し、/var/log/netwitness/correlation-server/correlation-server.logに移動します。

    タスク4.(オプション)カスタムESAルール ビルダ ルールおよびESA詳細ルールの調整

    注: 11.3.0.2、11.3.1.1、11.3.2へのアップグレード時にこのタスクを完了した場合、再度実行する必要はありません。

    ESAルール ビルダ ルールとESA詳細ルールを更新して、ESA Correlationサービスのdefault-multi-valuedパラメータおよびdefault-single valuedパラメータにリストされている文字列型および文字列配列型のメタ キーを処理できるようにします。multi-valuedパラメータおよびsingle-valuedパラメータにメタ キーを追加できます。

    たとえば、ec.outcomeを単一値メタ キーとして次に示すようにESAルールで使用しているとします。

    @RSAAlert

    SELECT * FROM Event((ec_outcome IN ( 'Success' )))

    .win:time_length_batch(2 Minutes, 2)

    HAVING COUNT(*) >= 2;

    ec.outcomemulti-valuedパラメータに追加する場合は、ルールを次に示すように更新する必要があります。

    @RSAAlert

    SELECT * FROM Event(( 'Success' = ANY( ec_outcome ) ))

    .win:time_length_batch(2 Minutes, 2)

    HAVING COUNT(*) >= 2;

    詳細については、『ESA構成ガイド』の「ESA相関ルールの値に配列型のメタ キーを構成」を参照してください。

    ESAトラブルシューティング情報

    詳細については、「ESAトラブルシューティング情報」を参照してください。

    Investigate

    タスク5:(オプション - カスタム ロールの場合のみ)カスタム ユーザ ロールのinvestigate-server権限の調整

    バージョン11.4にアップグレードした後、[調査]ビューを使用するアナリスト向けの標準提供ユーザ ロールでは、次の権限が有効になります。

    • investigate-server.columngroup.read
    • investigate-server.metagroup.read
    • investigate-server.profile.read

    11.4にアップグレードした後、NetWitness Platformはこれらの権限をカスタム アナリスト ロールには追加しないため、この手順の説明に従ってカスタム ロールでこれらの権限を有効にする必要があります(ユーザ ロールの詳細については、『システム セキュリティおよびユーザ管理ガイド』を参照してください)。

    これらの権限が無効なカスタム ユーザ ロールを割り当てられたユーザは、[ナビゲート]ビューと[レガシー イベント]ビューで問題が発生します。3つの権限のいずれかが無効になっている場合、[ナビゲート]ビューの[値のロード]ボタンは表示されません。更に、列グループの権限が無効になっていると、[レガシー イベント]ビューには、詳細ビューのみが表示され、その他のビューや列グループを選択できないという問題が発生します。

    ユーザ ロールの権限を有効にするには、次の手順を実行します。

    1. 管理]>[セキュリティ]に移動し、[ロール]タブをクリックします。
    2. 編集する必要があるカスタム ユーザ ロールを選択し、(編集アイコン)をクリックします。
    3. [ロールの編集]ダイアログで、次の3つの権限を選択します。
      investigate-server.columngroup.read
      investigate-server.metagroup.read
      investigate-server.profile.read
    4. 保存]をクリックして、変更内容を保存します。カスタム ユーザ ロールを割り当てられたアナリストがNetWitness Platformにログインすると、変更が有効になります。

    Respond

    これらのタスクは、プライマリESAサーバを11.4にアップグレードした後で実行する必要があります。

    注: プライマリNW Server(Respond Serverサービスを含む)をアップグレードした後、プライマリESAホストを11.4にアップグレードするまで、Respond Serverサービスは再有効化されません。Respondのアップグレード後のタスクは、Respond Serverサービスがアップグレードされ、有効な状態になってから実行する必要があります。

    タスク6:(オプション)Respondサービスの統合ルール スキーマのカスタム キーをリストアする

    注: インシデント統合ルール スキーマを手動でカスタマイズしていない場合は、このタスクを実行する必要はありません。

    11.xのgroupBy句で使用するためにvar/lib/netwitness/respond-server/data/aggregation_ rule_schema.jsonファイルにカスタム キーを追加した場合は、/var/lib/netwitness/respond-server/data/aggregation_rule_schema.jsonファイルを変更して、自動バックアップ ファイルからカスタム キーを追加します。

    バックアップ ファイルは/var/lib/netwitness/respond-server/dataにあり、次の形式になります。
    aggregation_rule_schema.json.bak-<time of the backup>

    タスク7:(オプション)カスタマイズされたRespondサービスの正規化スクリプトをリストアする

    注: アラート正規化スクリプトを手動でカスタマイズしていない場合は、このタスクを実行する必要はありません。

    カスタマイズの内容がバージョン更新により上書きされるのを防ぐため、NetWitness Platform 11.4以降では、カスタム正規化スクリプト ファイルを利用できます。カスタム ロジックは、custom_normalize_<alert type>.jsファイルに追加します。

    1. /var/lib/netwitness/respond-server/scripts.bak-<timestamp>ディレクトリにあるバックアップされたRespondサーバの正規化スクリプトからカスタム ロジックを取り出します。<timestamp>はバックアップが完了した時刻です。
      data_privacy_map.js
      normalize_alerts.js
      normalize_core_alerts.js
      normalize_ecat_alerts.js
      normalize_ma_alerts.js
      normalize_ueba_alerts.js
      normalize_wtd_alerts.js
      utils.js

    2. Edit the new 11.4 script files in the /var/lib/netwitness/respond-server/scripts directory to include any logic from the back up files. If you have any customizations in the normalization files, add them to the normalization files with the “custom” prefix.
      data_privacy_map.js
      custom_normalize_alerts.js
      custom_normalize_core_alerts.js
      custom_normalize_ecat_alerts.js
      custom_normalize_ma_alerts.js
      custom_normalize_ueba_alerts.js
      custom_normalize_wtd_alerts.js
      utils.js

      たとえば、custom_normalize_core_alerts.jsは、ESA用のカスタム ロジックを追加するための正規化スクリプトです。このJavaScriptファイルには、パラメータにheaders、rawAlert、Normalizealertを含む関数「normalizeAlert」があります。変数「normalized」は、正規化されたイベントのリストが埋め込まれたイミュータブルなコピー オブジェクトです。そのため、イベントに対してカスタム メタ キーを構成している場合は、「normalized.events」を反復的に処理して、適切なメタキーに「rawAlert.events」オブジェクトから値を取得する必要があります。次にサンプル コードを示します。


    タスク8:(オプション)対応の通知設定権限を追加する

    注: この権限を11.2以降ですでに構成してある場合は、このタスクを実行する必要はありません。

    対応の通知設定権限により、Respond管理者、データ プライバシー責任者、SOCマネージャは対応の通知設定([構成]>[対応の通知])にアクセスでき、インシデントが作成または更新されたときにメール通知を送信できるようになります。

    この設定にアクセスするには、既存のNetWitness Platformの標準提供ユーザ ロールに権限を追加する必要があります。カスタム ロールにも権限を追加する必要があります。

    NetWitness Respond構成ガイド」の「対応の通知設定の権限」トピックを参照してください。

    ユーザ権限の詳細については、「システム セキュリティとユーザ管理ガイド」を参照してください。

    RSA NetWitness Platform 11.xのすべてのドキュメントの一覧を、 総合目次 で確認できます。

    11.2.x.xからアップグレードする場合のアップグレード後のタスク

    11.2.x.xから11.4にアップグレードする場合は、このセクションのすべてのタスクを実行します。

    全般

    タスク1:サービスの再起動、データ収集、データ集計の確認

    サービスが再起動され、データを収集していることを確認します(これは、自動開始が有効になっているかどうかによって異なります)。

    必要に応じて、次のサービスでデータの収集と集計を再開します。

    • Decoder
    • Log Decoder
    • Broker
    • Concentrator
    • Archiver

    ネットワーク収集の開始

    1. NetWitness Platformメニューで、[管理]>[サービス]に移動します。
      [サービス]ビューが表示されます。
    2. Decoderサービスを選択します。
    3. (アクション)で、[表示]>[システム]を選択します。

    4. ツールバーでをクリックします。

    ログ収集の開始

    1. NetWitness Platformメニューで、[管理]>[サービス]に移動します。
      [サービス]ビューが表示されます。
    2. Log Decoderサービスを選択します。
    3. (アクション)で、[表示]>[システム]を選択します。
    4. ツールバーでをクリックします。
  • 集計の開始

    1. NetWitness Platformメニューで、[管理]>[サービス]に移動します。
      [サービス]ビューが表示されます。

    2. ConcentratorBrokerArchiverの各サービスに対して、以下の手順を実行します。

      1. サービスを選択します。
      2. (アクション)で、[表示]>[構成]を選択します。
      3. ツールバーでをクリックします。

    タスク2:コンテキスト メニュー アクションのユーザ権限を設定する

    AnalystsSOC ManagersData Privacy Officersの各ロールにコンテキスト メニュー アクションの権限を設定するには、次の手順を実行します。以下の手順を、AnalystsSOC ManagersData Privacy Officersの各ロールに対して実行する必要があります。

    1. NetWitness Platformメニューで、[管理]>[セキュリティ]>[ロール]を選択します。
    2. ユーザ ロール(たとえば[Data Privacy Officers])をダブルクリックするか、ロールをクリックして選択してから(編集)をクリックします。

    3. ロールの編集]ビューの、[管理]タブの[権限]セクションで、[Manage Logs]、[Manage Plugins]、[Manage System Settingsのチェックボックスをオンにして、[保存]をクリックします。

    4. Data Privacy Officersと同様に、AnalystsSOC Managersの各ロールに対してステップ1~3を実行します。

    タスク3:「Manage Jobs」権限をこの権限がないロールに追加する

    「Manage Jobs」権限を次のロールに追加します。

    • SOC_Managers
    • Operators
    • Data_Privacy_Officers
    1. NetWitness Platformメニューで、[管理]>[セキュリティ]に移動して[ロール]をクリックします。
    2. 更新する必要のあるロール(つまり、SOC_ManagersOperatorsData_Privacy_Officers)を1つ選択して、をクリックします。

    3. 管理]タブをクリックして、[Manage Jobs]チェックボックスを選択し、[保存]をクリックします。

    4. 3つのすべてのロール(SOC_ManagersOperatorsData_Privacy_Officers)について、ステップ1~3を実行します。

    タスク4:(オプション)ホストの証明書を再発行する

    アップグレードを行う前に、RSAが発行するCA証明書やサービス証明書などの内部証明書が更新されていることを確認しておく必要があります。

    NetWitness Platformの証明書の有効期間は次のとおりです。

    • 11.x導入環境のCAルート証明書は10年間有効です
    • 10.6.x導入環境のCAルート証明書は5年間有効です
    • サービス証明書は1,000日間有効です。

    有効期限の詳細を確認するには、NetWitness Serverでca-expire-test-shスクリプトを実行します。詳細については、「RSA NetWitness Platform 11.xでのルートCAセキュリティ証明書の再発行」を参照して、スクリプトをダウンロードしてください。

    CA証明書またはサービス証明書を更新するには、「RSA NetWitness Platform 11.xでのルートCAセキュリティ証明書の再発行」を参照してください。

    注: 導入環境にWindows Legacy Collector(WLC)がある場合は、NetWitness Admin Serverの証明書を更新した後で、WLCの証明書を更新します。

    詳細については、『システム メンテナンス ガイド』の「証明書の再発行」を参照してください。

    タスク5:アナリスト ロールのinvestigate-server権限を変更する

    11.3で、SOC ManagersMalware AnalystsAnalystsの各ロールのデフォルトの権限は、[イベント分析]ビューでの表示や操作に必要な権限に限定されました。11.3より前のデフォルトの権限は異なります。

    また、predicate.manage権限は、get-predicates、edit-predicates、remove-predicates、remove-all-predicatesなどへのアクセスを許可するため、SOC ManagersMalware AnalystsAnalystsのロールに割り当てるべきではありません。このアクセス権があると、特定のデータへのアクセスを制限する設定を回避することができるため、セキュリティ リスクとなる可能性があります。

    したがって、バージョン11.2.x.xから11.4にアップグレードする場合は、次の手順の説明に従って、デフォルトの権限を新しいデフォルトの権限と一致するように更新する必要があります。

    1. 管理]>[セキュリティ]>[ロール]に移動します。
    2. SOC ManagersMalware AnalystsAnalystsの各ロールで、次の手順を実行します。
      1. ユーザ ロール([Analysts]など)のチェックボックスを選択し、(編集アイコン)をクリックします。

      1. 権限]の下で、[Investigate-server]タブをクリックします。
      2. 次の権限のチェックを外します。
        • investigate-server.*
        • investigate-server.predicate.manage
      3. 次の権限のチェックを選択します。
        • investigate-server.content.export
        • investigate-server.content.reconstruct
        • investigate-server.event.read
        • investigate-server.metagroup.read
        • investigate-server.predicate.read

      4. 保存]をクリックします。

    タスク6:(オプション)PAM Radius認証を再構成する

    11.2.x.xでpam_radiusパッケージを使用してPAM RADIUS認証を構成していた場合、11.4ではpam_radius_authパッケージを使用して再構成する必要があります。

    NW Serverホストで次のコマンドを実行する必要があります。

    注: 11.2.x.xでpam_radiusを構成した場合は、ステップ1を実行して既存のバージョンをアンインストールします。それ以外の場合は、ステップ2に進みます。

    1. 既存のパッケージを確認し、既存のpam_radius ファイルをアンインストールします。
      rpm –qa |grep pam_radius
      yum erase pam_radius
    2. pam_radius_authパッケージをインストールするには、次のコマンドを実行します。
      yum install pam_radius_auth
    3. RADIUS構成ファイル(/etc/raddb/server)を次のように編集して、RADIUSサーバの構成を追加します。
      # server[:port] shared_secret timeout (s)
      server secret 3

      例:111.222.33.44 secret 1
    4. NW ServerホストのPAM構成ファイル(/etc/pam.d/securityanalytics)を編集し、次の行を追加します。ファイルが存在しない場合は、ファイルを作成し、次の行を追加します。
      auth sufficient pam_radius_auth.so
    5. 次のコマンドを実行して、/etc/raddb/serverへの書き込み権限を許可します。
      chown netwitness:netwitness /etc/raddb/server
    6. 次のコマンドを実行して、pam_radius_authライブラリをコピーします。
      cp /usr/lib/security/pam_radius_auth.so /usr/lib64/security/

    7. pam_radius_authの構成を変更した後、次のコマンドを実行してJettyサーバを再起動します。
      systemctl restart jetty

    タスク7:(オプション)NetWitness PlatformからWebアクセスできない場合は、レスポンスの.binファイルを再アップロードする(ライセンス サーバ)

    NetWitness導入環境からインターネットにアクセスできない場合は、11.4にアップグレードした後でレスポンスの.binファイルを再アップロードして、[管理]>[システム]>[ライセンス]ビューでライセンス情報を確認する必要があります。手順については、『ライセンス管理ガイド』の「NetWitness Platformへのオフライン ライセンス レスポンスのアップロード」を参照してください。RSA NetWitness Platform 11.xのすべてのドキュメントの一覧を、 総合目次 で確認できます。

    タスク8:パスワードの最小長を8文字から9文字に変更する

    バージョン11.2.x.xでは、NetWitness Platformの最小パスワード長は8文字です。11.3.x.x以降では、最小長は9文字です。11.2.x.xから11.4にアップグレードした後、『システム セキュリティおよびユーザ管理ガイド』の「パスワードの複雑性の構成」の説明に従って、最小パスワード長を9文字に設定します。

    Event Stream Analysis

    注: これらのEvent Stream Analysis(ESA)タスクは、11.2.x.xからアップグレードする場合に実行します。

    タスク9:ESA Correlationサービスの文字列配列型メタ キーの表示と次のステップ

    エンドポイント、UEBA、RSA Liveコンテンツをサポートするため、11.3以降のESA Correlationサービスでは、いくつかのメタ キーを単一値(文字列)から複数値(文字列配列)に変更する必要がありました。また、追加の文字列メタ キーも必要になりました。

    ESAルールで使用されているメタキーが、最新のデフォルトの複数値メタ キーと異なる場合、ESAルールは引き続き機能しますが、今後も確実にルールが正しく導入されるよう、できるだけ早急に新しいメタ キーを使用してESAルールを更新してください。

    ESA Correlationサービスには、次のような複数値(文字列配列)と単一値(文字列)に関するパラメータがあります。

    • multi-valued:ESAルールで現在使用されている文字列配列メタ キーを示します。NetWitness Platform 11.4にアップグレードした環境では、アップグレード前の既存の文字列配列メタ キーが表示されます(このパラメータは、NetWitness Platformバージョン11.2以前のEvent Stream AnalysisサービスのArrayFieldNamesパラメータに相当します)。
    • single-valued:ESAルールで現在使用されている文字列メタ キーを示します。NetWitness Platform 11.4にアップグレードした環境では、このパラメータの値は空です。
    • default-multi-valued:最新バージョンで必須の文字列配列メタ キーを示します。
    • default-single-valued:最新バージョンで必須の文字列メタ キーを示します。

    注: single-valuedパラメータとmulti-valuedパラメータに同じメタ キーが設定されている場合は、single-valuedパラメータの設定がmulti-valuedパラメータの設定よりも優先されます。

    1. ESA Correlationサービスのmulti-valuedパラメータおよびsingle-valuedのメタ キーを表示します。

      1. [管理]>[サービス]に移動し、[サービス]ビューでESA Correlationサービスを選択してから[アクション]アイコン>[表示]>[エクスプローラ]を選択します。

      2. ESA Correlationサービスの[エクスプローラ]ビューのノード リストで、[correlation]>[stream]を選択します。

    2. ESAルールは引き続き機能しますが、Live、UEBA、エンドポイントのルールを使用する場合は、「タスク12.(オプション)最新のエンドポイント、UEBA、RSA Liveコンテンツ ルールのために、Multi-ValuedパラメータとSingle-Valuedパラメータのメタ キーを更新」の手順に従ってください。

    注意: multi-valuedパラメータを変更すると、既存のルールを導入するときにエラーが発生する可能性があります。multi-valuedパラメータを更新して、メタ キーを再同期し、ESAルールを適宜更新できます。一度に報告されるエラーの数を減らすため、一度に追加するメタ キーは2つまでにしてください。

    注: 複数のESA Correlationサービスを使用している場合は、すべてのESA Correlationサービスで同じmulti-valuedパラメータおよびsingle-valuedパラメータを指定する必要があります。

    タスク10:(オプション)メタ キーが文字列から配列に変更されたRSA Live ESAルールを更新する

    次の表は、NetWitness Platform 11.3.xおよび11.4で文字列から配列にタイプが変更されたメタ キーを使用するRSA Live ESAルールの一覧です。

                                                    
    ルール番号ルール名11.3.xおよび11.4の配列タイプのメタ キー
    1RIG Exploit Kitthreat_category
    2AWS Critical VM Modifiedalert
    3Multiple Successful Logins from Multiple Diff Src to Same Desthost.srcとhost.dst
    4Multiple Successful Logins from Multiple Diff Src to Diff Desthost.srcとhost.dst
    5Multiple Failed Logins from Multiple Diff Sources to Same Desthost.srcとhost.dst
    6Multiple Failed Logins from Multiple Users to Same Destinationhost.srcとhost.dst
    7User Login Baselinehost.srcとhost.dst
    1. 次のいずれかを実行します。
      • バージョン11.3以前にこれらのルールを導入していた場合は、次の手順を実行します。
        1. ご使用の環境に適応するようルールのパラメータを変更していた場合は、変更内容を記録します。
        2. 最新のルールをRSA Liveからダウンロードします。
        3. デフォルトのルール パラメータに同じ変更を行い、ルールを導入します。

          (手順については、『ESA相関ルール アラート ユーザ ガイド』の「RSA Live ESAルールのダウンロード」を参照してください。)

      • バージョン11.4でこれらのルールを初めて導入する場合は、ESAルールの説明に従いカスタマイズしてください。前掲の表のルール3~7では、ESAのエンリッチメント ソースとして、 User_WhitelistHost_Whitelist IP_WhitelistのContext Hubリストを追加する必要があります。(『ESA相関ルール アラート ユーザ ガイド』の「Context Hubリストをエンリッチメント ソースとして構成」を参照。)
    2. これらのルールを追加したESAルール導入環境を導入します。(『ESA相関ルール アラート ユーザ ガイド』の「ESAルールの導入ステップ」を参照。)

    タスク11:ESAルール導入環境を検証する

    11.4にアップグレードした後で、ESAルール導入環境を検証します。ESAホストごとに、「<ESA-Hostname> – ESA Correlation」という名前の新しい導入環境が作成されます。

    1. 新しい導入環境が作成されたことを確認します。
    2. 新しい導入環境に、ESA Correlationサービス、データ ソース、以前そのESAホストの導入環境に追加されていたルールが指定されていることを確認します。
    3. ESA Correlationサービスのステータスが、「導入済み」であることを確認します。
    4. ESAルールのステータスが誤って「無効」と表示されたり、[ステータス]列に赤色の感嘆符アイコンアイコンが表示される場合は、問題を特定してルールを修正する必要があります。無効なルールにエラー メッセージがある場合は、[ステータス]フィールドに赤色の感嘆符アイコンが表示されるようになりました。エラー ログに移動することなく、ルールにカーソルを合わせるとエラー メッセージのツールチップが表示されます。(ESA Correlationサービスのログ ファイルは、/var/log/netwitness/correlation-server/correlation-server.logにあります)。
      ESAトラブルシューティング情報」を参照してください。
    5. ESAルール導入環境全体のステータスを確認します。ESAルール導入環境に問題がない場合は、ESAサービスとESAルールのステータスは「導入済み」になり、データ ソースに緑色の丸が表示され、[今すぐ導入]ボタンは無効になります。

    詳細な例については、『ESA構成ガイド』を参照してください。導入環境の詳細については、『ESA相関ルール アラート ユーザ ガイド』の「ESAルールの導入ステップ」を参照してください。トラブルシューティングの詳細については、『ESA相関ルール アラート ユーザ ガイド』を参照してください。

    タスク12.(オプション)最新のエンドポイント、UEBA、RSA Liveコンテンツ ルールのために、Multi-ValuedパラメータとSingle-Valuedパラメータのメタ キーを更新

    最新のエンドポイント、UEBA、Liveコンテンツ ルールを使用するには、ESA Correlationサービスのmulti-valuedパラメータを更新し、default-multi-valuedパラメータに含まれるすべてのメタ キーを追加する必要があります。また、single-valuedパラメータを更新し、default-single-valuedパラメータに含まれるすべてのメタ キーを追加する必要があります。

    注意: multi-valuedパラメータを変更すると、既存のルールを導入するときにエラーが発生する可能性があります。multi-valuedパラメータを更新して、メタ キーを再同期し、ESAルールを適宜更新できます。一度に報告されるエラーの数を減らすため、一度に追加するメタ キーは2つまでにしてください。

    注: ESA Correlationサービスのエラー ログに警告メッセージが表示される場合は、default-multi-valuedパラメータとmulti-valuedパラメータのメタ キーの値に差異があるため、新しいエンドポイント、UEBA、Liveコンテンツ ルールが機能しません。この手順を完了すると、この問題は解決します。警告メッセージの例については、「メタ キーの不足に関するESA Correlationサーバの警告メッセージの例」を参照してください。

    1. 11.4にアップグレードした後で、[管理]>[サービス]に移動し、[サービス]ビューでESA Correlationサービスを選択してから、[アクション]アイコン>[表示]>[エクスプローラ]を選択します。
    2. ESA Correlationサービスの[エクスプローラ]ビューのノード リストで、[correlation]>[stream]を選択します。
    3. multi-valuedパラメータのメタ キーと、default-multi-valuedパラメータのメタ キーを比較します。不足している文字列配列型のメタ キーをdefault-multi-valuedパラメータからコピーして、multi-valuedパラメータにペーストします(一度に報告されるエラーの数を減らすため、一度に追加するメタ キーは2つまでにしてください)。
    4. 文字列型のメタ キーをdefault-single-valuedパラメータからコピーして、single-valuedパラメータにペーストします。
    5. ESA Correlationサービスに変更を適用します。
    6. [構成]>[ESAルール]に移動し、[設定]タブをクリックします。
      • [メタ キー参照]で、メタ再同期(更新)アイコン(メタ再同期(更新)アイコン)をクリックします。
      • 複数のESA Correlationサービスがある場合は、各ESA Correlationサービスで同じメタ キーの変更を行います。
    7. ESA詳細ルールでdefault-multi-valuedまたはdefault-single-valuedのいずれかのメタ キーを使用している場合は、ルール構文を更新します。「タスク13.(オプション)カスタムESAルール ビルダ ルールおよびESA詳細ルールの調整」も参照してください。
    8. default-multi-valuedパラメータのメタ キーをESAルール通知テンプレートで使用している場合は、テンプレートを更新し、メタ キーの変更を反映します。『システム構成ガイド』の「グローバル通知テンプレートの構成」を参照してください。
    9. ESAルール導入環境を導入します。
    10. ESAルール導入環境の[ESAルール]セクションでルールのエラー メッセージを確認するか、ESA Correlationサービスのエラー ログでエラーがないか確認します。
      • ESAルール導入環境のエラー メッセージを確認するには、[構成]>[ESAルール]>[ルール]タブに移動して、左側のオプション パネルで導入環境を選択し、[ESAルール]セクションを確認します。
      • ESA Correlationサービスのログにアクセスするには、SSHを使用してシステムに接続し、/var/log/netwitness/correlation-server/correlation-server.logに移動します。

    タスク13.(オプション)カスタムESAルール ビルダ ルールおよびESA詳細ルールの調整

    ESAルール ビルダ ルールとESA詳細ルールを更新して、ESA Correlationサービスのdefault-multi-valuedパラメータおよびdefault-single valuedパラメータにリストされている文字列型および文字列配列型のメタ キーを処理できるようにします。multi-valuedパラメータおよびsingle-valuedパラメータにメタ キーを追加できます。

    たとえば、ec.outcomeを単一値メタ キーとして次に示すようにESAルールで使用しているとします。

    @RSAAlert

    SELECT * FROM Event((ec_outcome IN ( 'Success' )))

    .win:time_length_batch(2 Minutes, 2)

    HAVING COUNT(*) >= 2;

    ec.outcomemulti-valuedパラメータに追加する場合は、ルールを次に示すように更新する必要があります。

    @RSAAlert

    SELECT * FROM Event(( 'Success' = ANY( ec_outcome ) ))

    .win:time_length_batch(2 Minutes, 2)

    HAVING COUNT(*) >= 2;

    詳細については、『ESA構成ガイド』の「ESA相関ルールの値に配列型のメタ キーを構成」を参照してください。

    ESAトラブルシューティング情報

    注: 不要な処理のオーバーヘッドを回避するため、値にテキスト データを含まないメタ キーについては、ESAルール ビルダの[ステートメントのビルド]ダイアログから[大文字小文字区別なし]オプションが削除されました。11.4へのアップグレード時に、NetWitness Platformは、既存のルールの[大文字小文字区別なし]オプションを変更しません。既存のルール ビルダ ルールで、[大文字小文字区別なし]オプションを使用できなくなったメタ キーでこのオプションが選択されている場合、そのステートメントを編集し、チェックボックスをオフにしないで再保存しようとするとエラーが発生します。

    エンドポイントおよびUEBAのコンテンツに加え、Liveで提供するESAルールの変更に対応するため、ESA Correlationサービスでは、いくつかのメタ キーを単一値(文字列)から複数値(文字列配列)に変更する必要がありました。NetWitness Platform 11.4では、文字列から文字列配列への変更があった場合、ESAによってルール ステートメントの演算子が自動的に調整されますが、手動で調整が必要となる場合もあります。

    11.4で文字列型のメタ キーを文字列配列型のメタ キーに手動で変更するには、『ESA構成ガイド』の「ESA相関ルールの値に配列型のメタ キーを構成」を参照してください。

    最新のエンドポイント、UEBA、Liveコンテンツ ルールを使用するには、NetWitness Platformバージョン11.4のESA Correlationサービスでは、次のデフォルトの複数値メタ キーが必要です。

    action , alert , alert.id , alias.host , alias.ip , alias.ipv6 , analysis.file , analysis.service , analysis.session , boc , browserprint , cert.thumbprint , checksum , checksum.all , checksum.dst , checksum.src , client.all , content , context , context.all , context.dst , context.src , dir.path , dir.path.dst , dir.path.src , directory , directory.all , directory.dst , directory.src , email , email.dst , email.src , eoc , feed.category , feed.desc , feed.name , file.cat , file.cat.dst , file.cat.src , filename.dst , filename.src , filter , function , host.all , host.dst , host.orig , host.src , host.state , inv.category , inv.context , ioc , ip.orig , ipv6.orig , netname , OS , param , param.dst , param.src , registry.key , registry.value , risk , risk.info , risk.suspicious , risk.warning , threat.category , threat.desc , threat.source , user.agent , username

    NetWitness Platform 11.4のESA Correlationサービスでは、次のデフォルトの単一値メタ キーも必要です。

    accesses , context.target , file.attributes , logon.type.desc , packets

    変更された文字列配列メタ キーまたは文字列メタ キーをESAルール通知テンプレートで使用している場合は、テンプレートを更新し、メタ キーの変更を反映します。『システム構成ガイド』の「グローバル通知テンプレートの構成」を参照してください。

    注: 詳細EPLルールが無効になった場合は、自動的に更新されないため、手動で修正する必要があります。

    トラブルシューティングの詳細については、『RSA NetWitness Platform ESA相関ルール アラート ユーザ ガイド』の「ESAのトラブルシューティング」を参照してください。

    メタ キーの不足に関するESA Correlationサーバの警告メッセージの例

    ESA Correlationサーバのエラー ログに警告メッセージが表示される場合は、default-multi-valuedパラメータとmulti-valuedパラメータのメタ キーの値に差異があるため、新しいエンドポイント、UEBA、Liveコンテンツ ルールが機能しません。「タスク12.(オプション)最新のエンドポイント、UEBA、RSA Liveコンテンツ ルールのために、Multi-ValuedパラメータとSingle-Valuedパラメータのメタ キーを更新」の手順を実行すると、この問題を修正できます。

    複数値の警告メッセージの例

    2019-08-23 08:55:07,602 [ deployment-0] WARN Stream|[alert, alert_id, browserprint, cert_thumbprint, checksum, checksum_all, checksum_dst, checksum_src, client_all, content, context, context_all, context_dst, context_src, dir_path, dir_path_dst, dir_path_src, directory, directory_all, directory_dst, directory_src, email_dst, email_src, feed_category, feed_desc, feed_name, file_cat, file_cat_dst, file_cat_src, filename_dst, filename_src, filter, function, host_all, host_dst, host_orig, host_src, host_state, ip_orig, ipv6_orig, OS, param, param_dst, param_src, registry_key, registry_value, risk, risk_info, risk_suspicious, risk_warning, threat_category, threat_desc, threat_source, user_agent] are still MISSING from multi-valued

    単一値の警告メッセージの例

    2019-08-23 08:55:07,602 [ deployment-0] WARN Stream|[accesses, context_target, file_attributes, logon_type_desc, packets] are still MISSING from single-valued

    Investigate

    タスク14:(オプション - カスタム ロールの場合のみ)カスタム ユーザ ロールのinvestigate-server権限の調整

    バージョン11.4にアップグレードした後、[調査]ビューを使用するアナリスト向けの標準提供ユーザ ロールでは、次の権限が有効になります。

    • investigate-server.columngroup.read
    • investigate-server.metagroup.read
    • investigate-server.profile.read

    11.4にアップグレードした後、NetWitness Platformはこれらの権限をカスタム アナリスト ロールには追加しないため、この手順の説明に従ってカスタム ロールでこれらの権限を有効にする必要があります(ユーザ ロールの詳細については、『システム セキュリティおよびユーザ管理ガイド』を参照してください)。

    これらの権限が無効なカスタム ユーザ ロールを割り当てられたユーザは、[ナビゲート]ビューと[レガシー イベント]ビューで問題が発生します。3つの権限のいずれかが無効になっている場合、[ナビゲート]ビューの[値のロード]ボタンは表示されません。更に、列グループの権限が無効になっていると、[レガシー イベント]ビューには、詳細ビューのみが表示され、その他のビューや列グループを選択できないという問題が発生します。

    ユーザ ロールの権限を有効にするには、次の手順を実行します。

    1. 管理]>[セキュリティ]に移動し、[ロール]タブをクリックします。
    2. 編集するカスタム ユーザ ロールを選択し、(編集アイコン)をクリックします。
    3. [ロールの編集]ダイアログで、次の3つの権限を選択します。
      investigate-server.columngroup.read
      investigate-server.metagroup.read
      investigate-server.profile.read
    4. 保存]をクリックして、変更内容を保存します。カスタム ユーザ ロールを割り当てられたアナリストがNetWitness Platformにログインすると、変更が有効になります。

    Respond

    これらのタスクは、プライマリESAサーバを11.4にアップグレードした後で実行する必要があります。

    注: プライマリNW Server(Respond Serverサービスを含む)をアップグレードした後、プライマリESAホストを11.4にアップグレードするまで、Respond Serverサービスは再有効化されません。Respondのアップグレード後のタスクは、Respond Serverサービスがアップグレードされ、有効な状態になってから実行する必要があります。

    タスク15:(オプション)Respondサービスの統合ルール スキーマのカスタム キーをリストアする

    注: インシデント統合ルール スキーマを手動でカスタマイズしていない場合は、このタスクを実行する必要はありません。

    11.xのgroupBy句で使用するためにvar/lib/netwitness/respond-server/data/aggregation_rule_schema.jsonファイルにカスタム キーを追加した場合は、/var/lib/netwitness/respond-server/data/aggregation_rule_schema.jsonファイルを変更して、自動バックアップ ファイルからカスタム キーを追加します。

    バックアップ ファイルは/var/lib/netwitness/respond-server/dataにあり、次の形式になります。
    aggregation_rule_schema.json.bak-<time of the backup>

    タスク16:(オプション)カスタマイズされたRespondサービスの正規化スクリプトをリストアする

    注: アラート正規化スクリプトを手動でカスタマイズしていない場合は、このタスクを実行する必要はありません。

    カスタマイズの内容がバージョン更新により上書きされるのを防ぐため、NetWitness Platform 11.4以降では、カスタム正規化スクリプト ファイルを利用できます。カスタム ロジックは、custom_normalize_<alert type>.jsファイルに追加します。

    1. /var/lib/netwitness/respond-server/scripts.bak-<timestamp>ディレクトリにあるバックアップされたRespondサーバの正規化スクリプトからカスタム ロジックを取り出します。<timestamp>はバックアップが完了した時刻です。
      data_privacy_map.js
      normalize_alerts.js
      normalize_core_alerts.js
      normalize_ecat_alerts.js
      normalize_ma_alerts.js
      normalize_ueba_alerts.js
      (11.3以降のバージョン)
      normalize_wtd_alerts.js
      utils.js

    2. Edit the new 11.4 script files in the /var/lib/netwitness/respond-server/scripts directory to include any logic from the back up files. If you have any customizations in the normalization files, add them to the normalization files with the “custom” prefix.
      data_privacy_map.js
      custom_normalize_alerts.js
      custom_normalize_core_alerts.js
      custom_normalize_ecat_alerts.js
      custom_normalize_ma_alerts.js
      custom_normalize_ueba_alerts.js
      custom_normalize_wtd_alerts.js
      utils.js

      たとえば、custom_normalize_core_alerts.jsは、ESA用のカスタム ロジックを追加するための正規化スクリプトです。このJavaScriptファイルには、パラメータにheaders、rawAlert、Normalizealertを含む関数「normalizeAlert」があります。変数「normalized」は、正規化されたイベントのリストが埋め込まれたイミュータブルなコピー オブジェクトです。そのため、イベントに対してカスタム メタ キーを構成している場合は、「normalized.events」を反復的に処理して、適切なメタキーに「rawAlert.events」オブジェクトから値を取得する必要があります。次にサンプル コードを示します。

    タスク17:(オプション)対応の通知設定権限を追加する

    注: この権限を11.2以降ですでに構成してある場合は、このタスクを実行する必要はありません。

    対応の通知設定権限により、Respond管理者、データ プライバシー責任者、SOCマネージャは対応の通知設定([構成]>[対応の通知])にアクセスでき、インシデントが作成または更新されたときにメール通知を送信できるようになります。

    この設定にアクセスするには、既存のNetWitness Platformの標準提供ユーザ ロールに権限を追加する必要があります。カスタム ロールにも権限を追加する必要があります。

    NetWitness Respond構成ガイド」の「対応の通知設定の権限」トピックを参照してください。

    ユーザ権限の詳細については、「システム セキュリティとユーザ管理ガイド」を参照してください。

    RSA NetWitness Platform 11.xのすべてのドキュメントの一覧を、 総合目次 で確認できます。

    DecoderおよびLog Decoder

    タスク18:Javaバージョンの変更のため、レガシーEndpointからの定期実行フィードを再構成する

    Javaバージョンの変更により、レガシーEndpointの定期実行フィードを再構成する必要があります。この問題を解決するには、次の手順を実行します。

    • RSA NetWitness Endpoint統合ガイド』にある「定期実行フィードにより取得するEndpointからのコンテキスト データの構成」トピックの「NetWitness EndpointのSSL証明書のエクスポート」の説明に従い、NetWitness Endpoint CA証明書をNetWitness Platformのトラスト ストアにインポートします。RSA NetWitness Platform 11.xのすべてのドキュメントの一覧を、 総合目次 で確認できます。

    You are here
    Table of Contents > アップグレード後のタスク

    Attachments

      Outcomes