Base de données Core : Présentation de la base de données Security Analytics Core

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique présente la base de données Security Analytics Core. Les services Security Analytics Core contiennent une base de données propriétaire développée spécifiquement pour l'utilisation dans la suite de produits Security Analytics. Elle ressemble peu aux bases de données relationnelles traditionnelles, et elle ne se base sur aucune technologie de base de données du commerce. Ainsi, de nombreux utilisateurs trouvent que la courbe d'apprentissage est raide en vue de comprendre comment la base de données Core fonctionne et comment optimiser son utilisation. Ce guide vise à aider les utilisateurs de Security Analytics à comprendre la base de données et à en optimiser le potentiel d'utilisation.

En tant qu'administrateur système, vous pouvez utiliser ces informations pour contribuer à la planification de votre déploiement Security Analytics, et pour effectuer un réglage en vue d'optimiser la performance. En tant qu'analyste, vous pouvez utiliser ce guide pour structurer votre analyse de manières qui offriront un retour plus rapide des rapports. En tant que développeur de contenu, vous pouvez utiliser ce guide pour faciliter l'écriture d'un contenu qui sera traité efficacement par le système de base de données.

Produits d'analyse de sécurité couverts par ce guide

Ce guide couvre les fonctionnalités de Security Analytics 10.6. Les composants suivants de Security Analytics contiennent la base de données Core :

  • Concentrator
  • Archiver
  • Decoder
  • Log Decoder
  • Workbench

Termes fréquemment utilisés

Une définition de termes qui sont utilisés dans ce document est présentée ici. Ces termes sont répertoriés dans l'ordre dans lequel ils entrent dans le système Security Analytics :

  • Base de données de paquets : La base de données de paquets contient les données brutes capturées. Sur un Decoder, la base de données de paquets contient les paquets tels qu'ils sont capturés sur le réseau. Les Log Decoders utilisent la base de données de paquets pour stocker les logs bruts. Les données brutes stockées dans la base de données de paquets sont accessibles par ID de paquet. Toutefois, cet ID n'est généralement pas visible pour l'utilisateur final.
  • ID de paquet : Nombre utilisé de manière unique pour identifier un paquet ou se connecter à une base de données de paquets.
  • Métabase de données : La base de données méta contient des éléments d'information extraits par Decoder ou Log Decoder à partir du flux de données brutes. Les parsers, les règles et les feeds peuvent générer des métaéléments.
  • ID Méta : Nombre utilisé de manière unique pour identifier un métaélément dans la base de données méta.
  • Clé méta : Nom utilisé pour classer le type de chaque métaélément. Les méta clés communes incluent les suivantes : ip.src, time ou service.
  • Valeur méta : Chaque métaélément contient une valeur. La valeur est ce que génère chaque parser, feed ou règle.
  • Base de données de session : La base de données de sessions contient des informations qui lient le paquet et les métaéléments en sessions.
  • Session : Sur un Packet Decoder, une session correspond à un seul flux réseau logique. Par exemple, une connexion TCP/IP représente une session. Sur un Log Decoder, chaque événement de log représente une session. Chaque session contient les références à l'intégralité des ID de paquets et de méta concernés.
  • ID de session : Nombre unique utilisé pour identifier une entrée de la base de données de sessions.
  • Index : L'index est une collection de fichiers permettant de rechercher des ID de session à l'aide de métavaleurs.
  • Base de données Core : Cette base rassemble des paquets, des métas, des sessions et des index.

Pour les définitions de syntaxe, ce document utilise les définitions de grammaire EBNF.

Historique de la base de données Security Analytics Core

NetWitness a développé la base de données Security Analytics Core pour l'utilisation dans des systèmes de capture de paquets. Tôt dans l'histoire de NetWitness, les développeurs ont identifié que des technologies de base de données existantes ne seraient pas capables de suivre le taux d'acquisition élevé inhérent à une capture paquet complète. Les technologies contemporaines de base de données étaient loin de pouvoir suivre la capture du nombre de sessions reçues à chaque seconde, et plus encore d'être en mesure de trier chaque paquet. De même, le volume de données signifiait que le stockage des paquets devrait être ignoré et réutilisé aussi vite qu'il était consommé. C'était également une faiblesse des bases de données à l'époque. Ainsi, NetWitness a créé une base de données composées des bases de données de méta, de sessions et de paquets.

Afin de fournir les fonctionnalités analytiques de NetWitness Investigator, un index méta a été ajouté à la base de données NetWitness. L'index a partagé les mêmes objectifs de conception que les bases de données d'origine. Il a été conçu pour supporter une vitesse d'insertion très élevée dans un nombre important d'index très grands.

L'index a évolué considérablement au fil des années. Les versions précoces de l'index étaient uniquement capables de fournir des estimations résumées sur la présence du nombre de métavaleurs uniques dans la base de données méta. D'autres versions ont relevé de grands défis en atteignant des performances de requête acceptables. Par exemple, NetWitness 9.0 mesurait plus fréquemment des temps de rapport en minutes plus qu'en secondes. La version actuelle de l'index provient de l'index NetWitness 9.0, mais elle a considérablement évolué afin de répondre aux attentes en matière de performance et d'ajouter de nouvelles fonctionnalités.

Atouts et faiblesses de la base de données principale

Atouts :

  • Vitesse d'insertion soutenue élevée, sans avoir besoin de délai d'inactivité pour les insertions en bloc.
  • Performance de requête correcte associée à une vitesse d'insertion élevée.
  • Nettoyage ou transfert automatique des anciennes données avec fragmentation minimale.
  • Nombre extrêmement élevé d'index de métavaleurs : plus de 100 activés par défaut sur un Concentrator.
  • Capacité à dimensionner vers des tailles de base de données en pétaoctets et des tailles de l’index en téraoctets dans un seul nœud.
  • En utilisant des paires clé-valeur de méta, le stockage d'éléments métas arbitraires est très flexible dans une session. Ainsi, une session peut être utilisée pour représenter presque toute sorte d'enregistrement de données.

Faiblesses :

  • La fonctionnalité de la requête est limitée et de faible niveau.
  • Le schéma de base de données de paquet, méta et session est fixe et toute la personnalisation est réalisée via des valeurs et des clés de métas.
  • La base de données ne fournit aucune garantie d'atomicité de transaction comme vous pouvez en attendre dans une base de données SQL.
You are here
Table of Contents > Présentation de la base de données Security Analytics Core

Attachments

    Outcomes