SA: Presentación de Security Analytics

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

RSA Security Analytics es un sistema distribuido y modular que permite el uso de arquitecturas de implementación altamente flexibles que escalan con las necesidades de la organización. Security Analytics permite que los administradores recopilen dos tipos de datos desde la infraestructura de la red, los datos de paquetes y los datos del registro. Los aspectos clave de la arquitectura son:

  • Recopilación de datos distribuidos. Los datos de paquetes se recopilan con un dispositivo denominado Decoder, mientras que Log Decoder recopila eventos de registros. Decoder captura, analiza y reconstruye todo el tráfico de red de las capas 2 a la 7 o los datos de registros y eventos de cientos de dispositivos y orígenes de eventos. Concentrator indexa metadatos extraídos de los datos de red o de registros y los pone a disposición para la analítica en tiempo real y la creación de consultas de toda la empresa, a la vez que facilita la creación de informes y alertas. Broker agrega datos que capturan otros dispositivos y orígenes de eventos. Los Brokers agregan datos de Concentrators configurados; los Concentrators agregan datos de Decoders. Por lo tanto, un Broker conecta las distintas áreas de almacenamiento de datos en tiempo real ubicadas en varios pares de Decoder/Concentrator a lo largo de la infraestructura.
  • Analítica en tiempo real. El host de Security Analytics Event Stream Analysis (ESA) proporciona analítica de flujo avanzada, como correlación y procesamiento de eventos complejos, a alto rendimiento y baja latencia. Puede procesar grandes volúmenes de datos de eventos dispares que provienen de Concentrators. ESA utiliza un lenguaje de procesamiento de eventos avanzado que permite a los analistas expresar filtrado, agregación, combinaciones, reconocimiento de patrones y correlación en múltiples flujos de eventos dispares. Event Stream Analysis ayuda a realizar detección de incidentes y alertas eficaces.

    RSA Analytics Warehouse. Un sistema de cómputo distribuido basado en hadoop, que recopila, administra y permite la analítica y la creación de informes sobre conjuntos de datos de seguridad a largo plazo, por ejemplo, meses o años. Warehouse puede estar conformado por tres o más nodos según los requisitos de analítica, archiving y resistencia de la organización.

    Servidor de Security Analytics. Aloja Reporting, Investigation, Administration y otros aspectos de la interfaz del usuario. También permite la creación de informes sobre datos que se encuentran en el dispositivo Warehouse.

  • Capacidad. Security Analytics cuenta con una arquitectura de capacidad modular, habilitada para capacidad de conexión directa (DAC) o redes de almacenamiento SAN, que se adapta a las necesidades de investigación a corto plazo y de retención de datos y analítica a más largo plazo de la organización.

Security Analytics ofrece gran flexibilidad de implementación. En el diseño de su arquitectura, puede usar varias docenas de hosts físicos o un único host físico en función de los detalles específicos de los requisitos de rendimiento y seguridad del cliente. Además, todo el sistema Security Analytics se ha optimizado para su ejecución en infraestructuras virtualizadas. En la siguiente imagen se ilustra la arquitectura funcional de Security Analytics: 

104MarkDiagram.png

La arquitectura del sistema incluye estos componentes principales: Decoders, Brokers y Concentrators, Archivers, ESA, Warehouse Connectors y RSA Warehouse. Los componentes de Security Analytics se pueden usar en conjunto como un sistema o de manera individual.

  • En una implementación de información de seguridad y administración de eventos (SIEM), la configuración básica requiere estos componentes: Log Decoder, Concentrator, Broker, Event Stream Analysis (ESA) y el servidor de Security Analytics.
  • En una implementación de análisis forense, la configuración básica requiere estos componentes: Decoder, Concentrator, Broker, ESA y Malware Analysis. Un componente opcional es el servicio Incident Management, el cual reside en el sistema ESA y se usa para dar prioridad a las alertas.

La tabla proporciona una sinopsis de cada componente principal:

                                                  
Componente del sistemaDescripción
Decoder/Log Decoder
  • Security Analytics recopila dos tipos de datos: datos de paquetes y datos del registro. 
  • Los datos de paquetes, es decir, paquetes de red, se recopilan mediante Decoder a través del puerto TAP o SPAN de la red, el cual normalmente se determina que es un punto de salida en la red de una organización. 
  • Un Log Decoder puede recopilar cuatro tipos de registro diferentes: syslog, ODBC, eventos de Windows y archivos planos.
  • Eventos de Windows se refiere a la metodología de recopilación de Windows 2008 y los archivos planos puede obtenerse a través de SFTP. 
  • Ambos tipos de Decoders recopilan datos transaccionales crudos que se enriquecen, cierran y agregan a Warehouse o a otros componentes de Security Analytics.
  • El proceso de recopilación y análisis de datos transaccionales es una plataforma dinámica y abierta.
Concentrator/Broker
  • Cualquier dato que se puede indexar en el Decoder pasa por el filtro del Concentrator respectivo. 
  • Una vez que los datos se almacenan en el Concentrator, se transmiten en forma de metadatos a RSA Analytics Warehouse.
Archivers
  • Archiver es un host que permite el archiving de registros a largo plazo mediante la indexación y la compresión de datos del registro y su envío a almacenamiento de archiving.  
  • El almacenamiento de archiving se optimiza para la retención de datos a largo plazo y los informes de cumplimiento de normas.  
  • Archiver almacena registros crudos y metadatos de registros de Log Decoders para la retención a largo plazo y utiliza capacidad de conexión directa (DAC) para el almacenamiento.

    Nota: Los paquetes crudos y los metadatos de paquetes no se almacenan en el Archiver.

Event Stream Analysis (ESA)
  • Este host de ESA proporciona analítica de flujo de eventos, como correlación y procesamiento de eventos complejos, a alto rendimiento y baja latencia. Puede procesar grandes volúmenes de datos de eventos dispares que provienen de Concentrators.
  • ESA utiliza un lenguaje de procesamiento de eventos avanzado que permite a los usuarios expresar filtrado, agregación, combinaciones, reconocimiento de patrones y correlación en múltiples flujos de eventos dispares. 
  • ESA ayuda a ejecutar detección de incidentes y alertas eficaces.
Warehouse Connectors
  • Warehouse Connector permite recopilar metadatos y eventos de Decoders y escribirlos en formato Avro en un sistema de procesamiento distribuido basado en Hadoop.
  • Puede configurar Warehouse Connector como un servicio en Log Decoders o Decoders existentes o se puede ejecutar como un host virtual en el ambiente virtual. 
  • Warehouse Connector tiene los siguientes componentes: origen de datos, destino y flujo de datos. 
RSA Analytics Warehouse
  • RSA Analytics Warehouse proporciona la funcionalidad de archiving de datos a más largo plazo a través de un sistema de procesamiento distribuido basado en Hadoop que recopila, administra y permite la analítica y la creación de informes de datos de seguridad.
  • RSA Analytics Warehouse requiere un servicio denominado Warehouse Connector para recopilar metadatos y eventos de Decoder y Log Decoder, y escribirlos en formato Avro en un sistema de procesamiento distribuido basado en Hadoop.
  • Cualquier dato entrante en Log Decoder y Concentrator se reenvía finalmente a Warehouse. 
  • Generalmente un Warehouse se compone de dos unidades: nodos de almacenamiento y capacidad de conexión directa (DAC). 
  • Los datos completos (no solo los metadatos) se almacenan en RSA Analytics Warehouse y están disponibles para Security Analytics cuando es necesario.

Componentes principales frente a descendentes

En Security Analytics, los servicios Core recopilan y analizan datos, generan metadatos y agregan los metadatos generados con los datos crudos. En la siguiente figura, los servicios Core se resaltan en azul; estos son Decoder, Log Decoder, Concentrator y Broker. Los sistemas descendentes usan los datos almacenados en los servicios Core para analítica. Por lo tanto, las operaciones de los servicios descendentes dependen de los servicios de Security Analytics Core. Los sistemas descendentes se resaltan en rojo; estos son Archiver, Warehouse, ESA, Malware Analysis, Investigation y Reporting. 

Aunque los servicios de Security Analytics Core pueden funcionar y proporcionar una buena solución de analítica sin los sistemas descendentes, los componentes descendentes ofrecen funciones de analítica adicionales. ESA proporciona correlación en tiempo real entre sesiones y eventos, y también entre distintos tipos de eventos, como datos de paquetes y registros. Investigation brinda la capacidad de desglosar a datos, examinar eventos y archivos, y reconstruir eventos en un ambiente seguro. El servicio de Malware Analysis ofrece inspección automatizada en tiempo real de actividad maliciosa en sesiones de red y archivos asociados.

CoreandDownStreamSystems.png

Interfaz del usuario de Security Analytics

De manera muy general, Security Analytics ejecuta dos funciones:

  • Proporciona una interfaz del usuario basada en navegador gráfico para administrar la arquitectura, las configuraciones y los permisos para los servicios de Security Analytics.
  • Adquiere los datos de Warehouse, Decoders y Concentrators, realiza análisis y ejecuta alertas e informes. 
  • Todos los módulos de Security Analytics comparten un enfoque común en la presentación de datos y las opciones de configuración con el uso de diferentes tableros, vistas, cuadrículas y cuadros de diálogo. Esto permite a los usuarios navegar de una forma comprensible, fácil y sin problemas. Después de familiarizarse con la interfaz del usuario, los usuarios pueden mejorar más su productividad mediante la creación de tableros para propósitos específicos. Por ejemplo, un conjunto de tableros personalizados puede presentar información de diferentes regiones o distintos tipos de amenazas.

Módulos de Security Analytics

Security Analytics organiza las tareas administrativas, analíticas y de creación de informes en módulos que representan agrupamientos lógicos de funciones y tareas para servicios:

  • El tablero es el punto de entrada para todos los módulos de Security Analytics y ofrece un portal a funciones de otros módulos para comodidad del usuario.
  • El módulo Administration es la interfaz del usuario para administrar y monitorear hosts, dispositivos/orígenes de eventos y servicios. Cuando están configurados, los hosts, los dispositivos/orígenes de eventos y los servicios están disponibles para otros módulos de Security Analytics.
  • El módulo Investigation es la interfaz del usuario que permite la visualización de los paquetes que capturan los hosts de Security Analytics. Malware Analysis es la interfaz del usuario para el análisis de malware automatizado.
  • El módulo Live es la interfaz del usuario para acceder y administrar los recursos disponibles para los clientes a través del sistema de administración de contenidos de Live.
  • Los módulos Informes y Alertas proporcionan la interfaz del usuario para funciones de creación de informes y alertas automatizadas.
  • El módulo Incidentes proporciona la función de administración de incidentes en Security Analytics. La función de administración de incidentes es una manera fácil de hacer un seguimiento del proceso de respuesta a incidentes y proporciona las siguientes funcionalidades:

    • Rastree la respuesta ante incidentes de manera coherente.
    • Automatice el proceso de creación de incidentes de seguridad útiles a partir de alertas entrantes.
    • Proporcione contexto de negocios y herramientas de investigación para ayudar al equipo a descubrir las causas raíz.
    • Rastree el proceso de corrección de forma automatizada mediante la integración de un sistema de help desk de otros fabricantes.
    • Rastree la respuesta ante incidentes de manera coherente.
    • Automatice el proceso de creación de incidentes de seguridad útiles a partir de alertas entrantes.
    • Proporcione contexto de negocios y herramientas de investigación para ayudar al equipo a descubrir las causas raíz.
    • Rastree el proceso de corrección de forma automatizada mediante la integración de un sistema de help desk de otros fabricantes.
You are here
Table of Contents > Presentación de Security Analytics

Attachments

    Outcomes