Base de datos Core: Presentación de la base de datos principal de Security Analytics

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se proporciona una descripción general de la base de datos de Security Analytics Core. Los servicios Security Analytics Core contienen una base de datos de propiedad desarrollada específicamente para su uso dentro del conjunto de productos Security Analytics. Se parece poco a las bases de datos relacionales tradicionales y no se basa en ninguna tecnología de base de datos disponible para la venta. Como tal, muchos usuarios encuentran que hay una curva de aprendizaje empinada para entender cómo funciona la base de datos Core y cómo utilizarla de la mejor manera. El propósito de esta guía es ayudar a los usuarios de Security Analytics a entender la base de datos y utilizar su máximo potencial.

Como administrador del sistema, puede utilizar esta información como ayuda para implementar Security Analytics y ajustarlo para obtener el mejor rendimiento. Como analista, puede utilizar esta guía para estructurar su análisis de manera que se obtengan informes más rápido. Como desarrollador de contenido, puede utilizar esta guía como ayuda para redactar contenido que procesará eficazmente el sistema de base de datos.

Productos de Security Analytics incluidos en esta guía

En esta guía se abordan las funcionalidades de Security Analytics 10.6. Los siguientes componentes de Security Analytics contienen la base de datos Core:

  • Concentrator
  • Archiver
  • Decoder
  • Log Decoder
  • Workbench

Términos de uso frecuente

Aquí se presentan las definiciones de términos que se utilizan en este documento. Los términos se enumeran en el orden de ingreso en el sistema Security Analytics:

  • Base de datos de paquete: la base de datos de paquete contiene los datos crudos capturados. En un Decoder, la base de datos de paquete contiene paquetes que se capturan de la red. Los Log Decoders utilizan la base de datos de paquete para almacenar registros crudos. Es posible acceder a los datos crudos almacenados en la base de datos de paquete mediante ID de paquete; sin embargo, generalmente este ID nunca es visible para el usuario final.
  • ID de paquete: Número que se usa para identificar exclusivamente un paquete o un registro en una base de datos de paquete.
  • Base de datos de metadatos: la base de datos de metadatos contiene información que un Decoder o Log Decoder extrae del flujo de datos crudos. Los analizadores, las reglas o los feeds pueden generar elementos de metadatos.
  • ID de metadatos: número que se usa para identificar exclusivamente un elemento de metadatos en la base de datos de metadatos.
  • Clave de metadatos: nombre que se utiliza para clasificar el tipo de cada elemento de metadatos. Las claves de metadatos comunes incluyen ip.src, time o service.
  • Valor de metadatos: cada elemento de metadatos contiene un valor. El valor es lo que genera cada analizador, feed o regla.
  • Base de datos de sesión: la base de datos de sesión contiene información que vincula el paquete y los elementos de metadatos juntos en sesiones.
  • Sesión: en un Decoder de paquete, una sesión representa un solo flujo de red lógica. Por ejemplo, una conexión TCP/IP es una sesión. En un Log Decoder, cada evento de un registro es una sesión. Cada sesión contiene las referencias a todos los ID de paquete e ID de metadatos que hacen referencia a la sesión.
  • ID de sesión: número que se utiliza para identificar exclusivamente sesiones en la base de datos de sesión.
  • Índice: el índice es una recopilación de archivos que proporciona una forma de buscar ID de sesión con valores de metadatos.
  • Base de datos Core: se refiere a la combinación de paquete, metadatos, sesión e índice.

En el caso de definiciones de sintaxis, este documento utiliza definiciones gramaticales de EBNF.

Historial de la base de datos principal de Security Analytics

NetWitness desarrolló la base de datos de Security Analytics Core para su uso en sistemas de captura de paquetes. Al principio de la historia de NetWitness, los desarrolladores identificaron que las tecnologías de bases de datos existentes no serían capaces de mantenerse al día con la alta tasa de recopilación inherente a la captura de paquetes completa. Las tecnologías de bases de datos contemporáneas no estaban ni cerca de ser capaces de mantenerse al día con la captura del número de sesiones recibido cada segundo, y mucho menos con la clasificación de cada paquete. Del mismo modo, el volumen de datos significaba que sería necesario desechar el almacenamiento de paquetes y reutilizarlo tan rápidamente como se consumiera. Esta fue también una debilidad de las bases de datos en el momento. De este modo, NetWitness creó una base de datos que incluye el paquete, la sesión y bases de datos de metadatos.

Con el fin de proporcionar las funcionalidades analíticas de NetWitness Investigator, se añadió un índice de metadatos a la base de datos de NetWitness. El índice comparte los mismos objetivos de diseño que las bases de datos originales. Se diseñó para sostener una tasa muy alta de inserción en un gran número de índices muy grandes.

El índice ha evolucionado considerablemente en los últimos años. Las primeras versiones del índice solo fueron capaces de proporcionar estimaciones resumidas acerca de cómo muchos valores de metadatos únicos estaban presentes en la base de datos de metadatos. Otras versiones han tenido grandes dificultades para alcanzar el rendimiento de consulta aceptable. Por ejemplo, NetWitness 9.0 con más frecuencia medía los tiempos de informes en minutos en lugar de segundos. La versión actual del índice se deriva del índice NetWitness 9.0, pero ha evolucionado considerablemente con el fin de cumplir con las expectativas de rendimiento y agregar nuevas características.

Fortalezas y debilidades de la base de datos principal

Fortalezas:

  • Tasas de inserción altas y sostenidas, sin necesidad de tiempo de inactividad para inserciones en masa.
  • Rendimiento de consultas aceptable simultáneo con altas tasas de inserción.
  • Limpieza automática y transferencia de datos antiguos con fragmentación mínima.
  • Número de índices de valor de metadatos extremadamente alto: más de 100 activados de forma predeterminada en un Concentrator.
  • Capacidad de escalar a tamaños de bases de datos en petabytes y tamaños de índice en terabytes dentro de un solo nodo.
  • Cuando se usan pares de valores clave de metadatos es muy flexible para almacenar elementos de metadatos arbitrarios dentro de una sesión. Así, una sesión puede usarse para representar casi cualquier tipo de registro de datos.

Debilidades:

  • La funcionalidad de consulta es limitada y de bajo nivel.
  • El esquema de paquetes, metadatos y base de datos de sesión es fijo, y toda la personalización se realiza mediante claves y valores de metadatos personalizados.
  • La base de datos no ofrece garantías de atomicidad de transacción como se podría esperar encontrar en una base de datos SQL.
You are here
Table of Contents > Presentación de la base de datos principal de Security Analytics

Attachments

    Outcomes