Decoder:[サービス]の[構成]ビュー:[全般]タブ

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、DecoderおよびLog Decoderの[サービス]の[構成]ビュー>[全般]タブの機能について説明します。 

Decoderの[サービス]の[構成]ビューにある[全般]タブでは、基本的なサービスの構成、データ収集の構成、収集されたデータに適用するParserの選択などの項目を管理します。

データ収集の構成とチューニングを行う設定には以下の項目があります。

  • アダプターの選択
  • キャッシュの仕様
  • 収集の自動開始、およびキャッシュ、セッション、タイムアウトなどに関する収集パラメーター
  • データベース ファイル サイズ
  • ハッシュ ディレクトリの場所

最初の図は、Decoderの[全般]タブの例です。2つ目の図は、Log Decoderの[全般]タブの例です。

ParsConDeTran.png

[サービス]の[構成]ビュー:Log Decoder

機能

これらは、DecoderおよびLog Decoderの[全般]タブの4つの主要なセクションです。

  • システム構成
  • Decoder構成
  • Parser構成
  • サービスParser構成(Log Decoderのみ)

システム構成

[システム構成]セクションでは、Decoderのサービス構成を管理します。サービスが最初に追加されたときには、デフォルト値が設定されています。これらの値を編集して、パフォーマンスを調整できます。

DecSysCfgSec.png

[システム構成]セクションには、以下のパラメータがあります。

                                 
パラメータ説明
Compression 転送時にデータの圧縮が行われる最小バイト数。0に設定すると、圧縮が無効になります。デフォルト値は0です。
値を変更すると、それ以降のすべての接続に即座に反映されます。
Port サービスに使用されるポートを指定します。

注:ポート番号を変更した場合は必ず、サービスを再起動してください。

SSL FIPS Mode 有効にした場合、ネットワークで転送されるすべてのデータがSSLで暗号化されます。
SSL Port SSLを使用した暗号化に使用するポートを示します。
統計情報の更新間隔 システムで統計情報を更新する間隔(ミリ秒)。数字を低く設定すると更新がより頻繁になりますが、他のプロセスのパフォーマンスが低下する可能性があります。デフォルト値は1000です。
値の変更は即座に反映されます。
Threads 着信リクエストを処理するスレッド プール内のスレッド数。0に設定すると、システムが値を設定します。
変更はサービスの再起動後に有効になります。

Decoder構成

[Decoder構成]セクションでは、DecoderまたはLog Decoderのサービス構成パラメータを表示して編集することができます。サービスが最初に追加されたときには、デフォルト値が設定されています。これらの値を編集して、トラフィック収集の動作を調整できます。
DecCfgTop.png

セクションを下にスクロールすると、以下のDecoder構成パラメータが表示されます。

DecCfgBottom.png

Adapter (アダプタ)

アダプタ パラメータは、収集を行うネットワーク インタフェースを構成します。下の表はDecoderアダプタの設定について説明しています。使用可能なデフォルトのネットワーク アダプタはインストール時に設定されます。詳細については、システム管理者に相談してください。

                 
Adapter (アダプタ) パラメータ説明
Berkeley Packet Filter BPF(Berkeley Packet Filters)は、パケットがDecoderアダプタにコピーされる前に、パケット ストリームに適用されます。これによって、不要なトラフィックを効率的に破棄できます。ただし、破棄されたパケットに関する情報は、{{nd}}のどの統計情報(収集レート、ドロップされたパケット、フィルタされたパケット、合計パケット)にも反映されません。
Capture Interface Selected (収集インタフェースの選択) Decoderがパケットを収集するために使うアダプタを選択します。低速な内部の収集インタフェースの場合、マザーボードの監視ポートに対応するpacket_mmap_,7,eth1アダプタを使います。さらに6つの収集ポートがあります。
  • packet_mmap_,1,lo (bpf)
  • packet_mmap_,2,eth2 (bpf)
  • packet_mmap_,3,eth3 (bpf)
  • packet_mmap_,4,eth4 (bpf)
  • packet_mmap_,5,eth5 (bpf)
  • packet_mmap_,8,ALL (bpf)
3つのWireless収集サービスが使用できます。
  • packet_netmon_ (Microsoft Netmon)
  • packet_mac80211_ (Linux mac80211)
  • packet_airport_ (Mac OS X AirPort)

Decoderは、tcpdump/libpcap構文を使用して定義されたシステム レベルのパケット フィルタリングもサポートします。libpcapフィルタを指定する場合、レイヤー2~レイヤー4の属性に基づいて、収集するパケット量を効率的に削減できます。libpcapフィルタは、Decoderの物理リソースに多大な負荷を与えるようなトラフィック量の場合に適しています。このシナリオが必要な状況では、Decoderでパケットのドロップが頻繁に発生し、またcapture.pageが高い数値を示している可能性があります。(/decoder/stats/capture.pages.freeが高い値です)。
次の例はlibpcapフィルタで、ソース アドレスと宛先アドレスの両方が10.21.0.0/16サブネットであるパケットをドロップします。
not (src net 10.21.0.0/16 and dst net 10.21.0.0/16)
Libpcapフィルター構文の詳細については、次のメイン ページを参照してください。

Cache(キャッシュ)

キャッシュ パラメータは、キャッシュ ディレクトリおよびセッション キャッシュ ファイルのサイズを構成します。以下の表は、キャッシュ 設定について説明しています。

                 
Cache (キャッシュ)パラメータ説明
Cache Directory (キャッシュ ディレクトリ) セッション キャッシュ ファイルが保存されているディレクトリ。デフォルト値は/var/netwitness/decoder/cacheです。変更は即座に有効になります。
Cache Size (キャッシュ サイズ) キャッシュ ディレクトリのすべてのファイルの最大サイズ(MB)。このサイズを超えると、最も古いファイルが削除されます。閾値に達すると、キャッシュ サイズは10%削減されます。デフォルト値は4 GBです。変更は即座に有効になります。

Capture Settings(収集設定)

[収集設定]セクションでは、データの収集設定を構成します。

注:デフォルトでは、Security Analyticsを最初にインストールした時点では、収集ルールは定義されていません。ルールが指定されていない限り、パケットはフィルタされません。収集ルールを定義するには、収集データを開始する前に次のトピックを参照してください:ネットワーク ルールの構成, アプリケーション ルールの構成、 相関ルールの構成).

この表は、収集設定について説明しています。

                                                     
Capture Settings (収集設定)パラメータ説明
Assembler Maximum Size (アセンブラ最大サイズ) セッションのパケット データ サイズに許可される最大サイズ(バイト単位)を指定します。デフォルト値は32 MBです。変更は即座に有効になります。
Assembler Minimum Size (アセンブラ最小サイズ) セッションがメタデータを生成するために必要な最小サイズ(バイト単位)を指定します。値が0の場合はすべてのセッションでメタデータが生成されることを意味します。デフォルト値は0です。変更は即座に有効になります。
Assembler Session Flush (アセンブラ セッション フラッシュ) セッションの最後のチェーンがアセンブラから削除された場合に、セッションをアセンブラから削除するかどうかを指定します。デフォルト値は1です。
  • 2 = セッションの最初のパケットがアセンブラからタイムアウトになった場合、パースが完了した後にセッションはアセンブラから削除されます。このセッションの以降のパケットはすべて、アセンブラで新しいセッションを作成します。
  • 1 = セッションの最後のチェーンがアセンブラからタイムアウトになった場合、セッションはアセンブラから削除されます。このセッションの以降のパケットはすべて、アセンブラで新しいセッションを作成します。
  • 0 = セッションの最後のチェーンがアセンブラからタイムアウトになった場合、セッションはタイムアウトになるまでアセンブラに残されます。このセッションの以降のパケットはフィルタされます。
サービスを再起動すると変更が有効になります。
Assembles Session Pool (アセンブラ セッション プール) セッション プールのエントリーの数を指定します。デフォルト値は350000です。サービスを再起動すると変更が有効になります。
Assembler Timeout Packets (アセンブラ パケット タイムアウト) パケットまたはチェーンがタイムアウトになるまでの秒数を指定します。デフォルト値は60です。変更は即座に有効になります。
Assembler Timeout Session (アセンブラ セッション タイムアウト) セッションがタイムアウトになるまでの秒数を指定します。デフォルト値は60です。変更は即座に有効になります。
Capture Autostart (収集の自動開始) Decoderを開始するたびに収集を自動的に開始するかどうかを指定します。チェックボックスがオンの場合は、「有効」です。オフの場合は、「無効」です。デフォルト値は無効です。変更は即座に有効になります。
Capture Buffer Size (収集バッファ サイズ) 収集メモリ バッファの割り当て(MB)。デフォルト値は64 MBです。サービスを再起動すると変更が有効になります。
Parse Maximum Bytes (パース最大バイト数) ストリームをスキャンして追加のトークンを探すための最大バイト数。最初のトークンが見つかった後、設定されたバイト数までストリームがスキャンされますが、それ以上はスキャンされません。0を設定すると、サイズに関係なく、ストリーム全体がスキャンされるようになります。デフォルト値は128 KBです。変更は即座に有効になります。
Parse Minimum Bytes (パース最小バイト数) ストリームをスキャンして最初のトークンを探すための最小バイト数。設定されたバイト数内でトークンが見つからない場合は、スキャンが終了します。0を設定すると、サイズに関係なく、ストリーム全体がスキャンされるようになります。デフォルト値は1 KBです。変更は即座に有効になります。
Parse Threads セッションのパースに使用するパース スレッドの数。値が0の場合はサーバが決定します。デフォルト値は0です。サービスを再起動すると変更が有効になります。

Database Max File Sizes (データベースの最大ファイル サイズ)

[Database Max File Sizes (データベースの最大ファイル サイズ)]セクションは、さまざまなデータベースの最大ファイル サイズを制御します。以下の表は、パラメータについての説明です。

                     
File Size (ファイル サイズ) パラメータ説明
Meta File Size (メタ ファイル サイズ) メタ データベース ファイルの最大サイズ(MB) デフォルト値は10 MBです。サービスを再起動すると変更が有効になります。
Packet File Size (パケット ファイル サイズ) パケット データベース ファイルの最大サイズ(MB) デフォルト値は10 MBです。サービスを再起動すると変更が有効になります。
Session File Size (セッション ファイル サイズ) セッション データベース ファイルの最大サイズ(MB) デフォルト値は100 MBです。サービスを再起動すると変更が有効になります。

Hash (ハッシュ)

データベース ファイルのハッシュ オプションを制御します。ハッシュ時にはパフォーマンスの低下が発生する場合があります。以下の表は、ハッシュ オプションについて説明しています。

             
Hash (ハッシュ) パラメータ説明
Hash Directory (ハッシュ ディレクトリ) すべてのハッシュ ファイルを書き込むサーバ ディレクトリ。空白の場合、各ハッシュ ファイルは、ハッシュされるファイルと同じディレクトリに書き込まれます。デフォルト値は空白です。サービスを再起動すると変更が有効になります。

Parser構成

[Parser構成]パネルでは、Decoderで使用するParserを選択します。一部のParserでは、Parserが作成するメタデータを構成できます。 

Security Analyticsでは、生成されたメタデータをディスク上に保存しないようParserを構成できるようになりました(Transientオプション)。この機能により管理者は、データ プライバシー計画の一環として、ある種のデータを保護できるようになります(「データ プライバシーの管理」を参照してください)。

DecParsCfgSec.png

次の表では、[Parser構成]セクションの機能について説明しています。

                     
機能説明
すべて有効化
すべて無効化
一度にすべてのParserを選択したり、選択解除したりすることができます。
名前 Decoderで使用できるParserの名前。プラス記号は、Parserによって生成されたメタデータが構成可能であることを示しています。プラス記号をクリックすると、Parserが生成できるメタデータが表示されます。上の例では、CMS_windows_executableには、Parserが作成できる3つの選択可能なメタデータ、alert.id、error、filetypeがあります。
構成 ドロップダウン リストはParserまたはメタデータの設定を、有効無効一時的のいずれかに変更します。
  • 有効の場合、DecoderはParserを使ってトラフィックをフィルタリングします。
  • 一時的の場合、DecoderはParserを使ってトラフィックをフィルタリングしますが、生成されたメタデータはディスク上に格納されません。一時的メタデータは、そのDecoderの追加のコンテンツ(Parser、フィード、アプリケーション ルール)にイン メモリで利用できます。
  • 無効の場合、DecoderはParserを使用しません。
Parserに生成されたメタデータが構成可能な場合、プラス記号をクリックすると、Parserを展開し、構成可能なメタ キーを表示します。同じドロップダウン リストはParserが作成するメタ キーを選択します。

Log DecoderのサービスParser構成

[サービスParser構成]セクションでは、Log Decoderで使用するサービスParserを選択します。

LDSvcParsCfgSec.png

Previous Topic:Wireless LAN構成
You are here
Table of Contents > 参考資料 > [サービス]の[構成]ビュー:[全般]タブ

Attachments

    Outcomes