SA:Security Analyticsの概要

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

RSA Security Analyticsは、分散型のモジュールで構成される柔軟性の高い導入アーキテクチャを採用しています。このため、組織のニーズに応じてシステムを柔軟に拡張することが可能です。管理者は、Security Analyticsを使用して、パケット データとログ データの2種類のデータをネットワーク インフラストラクチャから収集することができます。このアーキテクチャの特徴を次に示します。

  • 分散データ収集。パケット データは、Decoderと呼ばれるホストを使用して収集され、ログ イベントは、Log Decoderによって収集されます。Decoderは、レイヤー2~7におけるすべてのネットワーク トラフィック、あるいは数百ものデバイスやイベント ソースのログおよびイベント データを収集、パース、再構築します。Concentratorは、ネットワーク トラフィックまたはログ データから抽出したメタデータのインデックスを作成し、エンタープライズ環境全体にわたるクエリーとリアルタイム分析で利用可能にします。また、レポート作成やアラート通知を容易に実行できるようにします。Brokerは、他のデバイスによって収集されたデータを集計します。Brokerは、構成されたConcentratorのデータを集計します。Concentratorは、Decoderからのデータを集計します。したがって、Brokerはインフラストラクチャ全体の各種のDecoder/Concentratorに保持された複数のリアルタイム データストアを中継する役割を担います。
  • リアルタイム分析。Security Analytics ESA(Event Stream Analysis)ホストは、相関イベントや複雑なイベント処理など、詳細なストリーム解析を高スループットかつ低レイテンシで提供します。ESAでは、Concentratorからの大量の雑多なイベント データを処理することができます。アナリストは、ESAの先進的なイベント処理言語によって、いくつもの異なるイベント ストリームを対象に、フィルタリング、集計、結合、パターン認識、相関を設定することができます。Event Stream Analysisによって、強力なインシデント検出やアラート通知を実装することができます。

    RSA Analytics Warehouse:Hadoopベースの分散コンピューティング システムで構成されます。長期間(数か月、数年など)にわたってセキュリティ データを収集および管理して、分析やレポートを可能にします。Warehouseは、組織におけるデータの分析やアーカイブ、取り出しなどの要件に応じて、3ノード以上のクラスタで構成します。

    Security Analyticsサーバ:Reporting、Investigation、Administration、その他のユーザー インタフェースをホストします。また、Warehouseに保持されたデータからレポートを作成することもできます。

  • キャパシティ: Security Analyticsのキャパシティ(外部ストレージ)は、直接接続(DAC)またはSAN(ストレージ エリア ネットワーク)を使用したモジュール型のアーキテクチャで構成され、組織における短期間の調査や、長期間の分析およびデータ保存のニーズに対応します。

Security Analyticsの導入は柔軟性に富んでいます。組織におけるパフォーマンスとセキュリティに関する詳細な要件に基づいて、1台から数十台までの物理ホストを使用してアーキテクチャを設計できます。また、Security Analyticsシステムは、仮想化インフラストラクチャ上で動作することも可能です。Security Analytics機能のアーキテクチャを次の図に示します。 

104MarkDiagram.png

システム アーキテクチャは、次のような主要コンポーネントで構成されています:Decoder、Broker、Concentrator、Archiver、ESA、Warehouse Connector、RSA Warehouse。 Security Analyticsコンポーネントは、システムとしてまとめて使用することも、個別に使用することもできます。

  • SIEM(セキュリティ情報およびイベント管理)実装では、基本構成として次のコンポーネントが必要です:Log Decoder、Concentrator、Broker、ESA(Event Stream Analysis)、Security Analyticsサーバ
  • フォレンジック実装では、基本構成として次のコンポーネントが必要です:Decoder、Concentrator、Broker、ESA、Malware Analysis。 Incident Managementサービスはオプションのコンポーネントです。このコンポーネントは、ESAシステムで稼働し、アラートの優先度を付けるために使用されます。

それぞれの主要コンポーネントについて、次の表で簡単に説明します。

                                                  
システム コンポーネント説明
Decoder/Log Decoder:
  • Security Analyticsは、パケット データとログ データの2種類のデータを収集します。 
  • パケット データ(ネットワーク パケット)は、組織のネットワークにおける出口となるポイントに設置したネットワーク タップまたはスパン ポートを介し、Decoderを使用して収集されます。 
  • Log Decoderは、Syslog、ODBC、Windowsイベント、フラット ファイルの4種類のログを収集できます。
  • Windowsイベント では、Windows 2008のイベント ログを収集でき、フラット ファイルではSFTPを介してログを収集できます。 
  • どちらのタイプのDecoderでも、rawデータを取り込みます。取り込まれたデータは、エンリッチメントや終了処理を経て、WarehouseやSecurity Analyticsの他のコンポーネントに集約されます。
  • データ収集とパースのプロセスは、絶えず進化するオープンなフレームワークで構成されています。
Concentrator/Broker
  • Decoder上のインデックス作成可能なデータはすべて、Concentratorによってフィルタリングできます。 
  • Concentratorに保存されたデータは、メタデータとしてRSA Analytics Warehouseにストリーミングされます。
Archiver
  • Archiverは、ログ データのインデックス作成と圧縮を行い、それらのデータをアーカイブ ストレージに送信することによって、長期間にわたるログのアーカイブを可能にするホストです。 
  • アーカイブ ストレージは、長期データ保存およびコンプライアンス レポート作成のために利用できます。 
  • Archiverは、Log Decoderからのrawログとログ メタ データを長期保存のために格納し、ストレージにDAC(直接接続機能)を使用します。

    注:rawパケットやパケットのメタ データは、Archiverに格納されません。

Event Stream Analysis (ESA)
  • ESAホストは、相関イベントや複雑なイベント処理など、ストリーム解析を高スループットかつ低レイテンシで提供します。ESAでは、Concentratorからの大量の雑多なイベント データを処理することができます。
  • ESAの先進的なイベント処理言語によって、いくつもの異なるイベント ストリームを対象に、フィルタリング、集計、結合、パターン認識、相関を設定することができます。 
  • ESAによって、強力なインシデント検出やアラート通知を実現することができます。
Warehouse Connector
  • Warehouse Connectorは、メタ データやイベントをDecoderから収集して、Hadoopベースの分散コンピューティング システムにAVRO形式で書き込むことができます。
  • Warehouse Connectorは、既存のLog DecoderまたはDecoder上のサービスとして設定することも、仮想環境内の仮想ホストとして実行することもできます。 
  • Warehouse Connectorには、次のコンポーネントが含まれます。データ ソース、宛先、データ ストリーム。 
RSA Analytics Warehouse
  • RSA Analytics Warehouseは、セキュリティ情報の分析やレポートの収集、管理を行うためのHadoopベースの分散コンピューティング システムです。また、長期間にわたるデータの格納先としても利用できます。
  • RSA Analytics Warehouseがメタ データやイベントをDecoderやLog Decoderから収集して、Hadoopベースの分散コンピューティング システムにAVRO形式で書き込むためには、Warehouse Connectorが必要です。
  • Log DecoderとConcentratorで収集および集計したすべてのデータは最終的には、Warehouseに転送されます。 
  • Warehouseは通常、ストレージ ノードとDAC(Direct Attached Capacity)という2つのユニットで構成されます。 
  • (メタ データだけでなく)データ全体がRSA Analytics Warehouseに格納され、Security Analyticsから必要に応じて利用することができます。

コア コンポーネントとダウンストリーム コンポーネント

Security Analyticsでは、コア サービスは、データの取得とパース、メタ データの生成、生成されたメタ データとrawデータの集計を行います。コア サービスは、Decoder、Log Decoder、Concentrator、Brokerです。次の図では、青い線で囲まれています。ダウンストリーム システムは、コア サービスに格納されているデータを使用して分析を行います。したがって、ダウンストリーム サービスの動作はSecurity Analytics コアサービスに依存します。ダウンストリーム システムには、Archiver、Warehouse、ESA、Malware Analysis、Investigation、Reportingが含まれます。次の図では、赤い線で囲まれています。 

Security Analytics コアサービスは、ダウンストリーム システムなしでも動作し、優れた分析ソリューションを提供できますが、ダウンストリーム コンポーネントによって分析機能を強化できます。ESAは、セッション間およびイベント間だけでなく、ログとパケット データなどの異なるタイプのイベントに対してリアルタイムに相関を分析することができます。Investigationを使用すると、データにドリルダウンして、イベントおよびファイルを調査し、安全な環境でイベントを再構築できます。Malware Analysisサービスでは、ネットワーク セッションおよび関連ファイルに含まれる悪質なアクティビティをリアルタイムかつ自動的に調査します。

CoreandDownStreamSystems.png

Security Analyticsユーザー インタフェース

Security Analyticsが果たす主な役割は次の2つです。

  • ブラウザ ベースのグラフィカルなユーザー インタフェースで、Security Analyticsのアーキテクチャ、構成、サービスに対する権限を管理できるようにする。
  • Warehouse、Decoder、Concentratorからデータを取得し、解析、アラート通知、レポート作成を行う。 
  • すべてのSecurity Analyticsモジュールでは、一連のダッシュボード、ビュー、グリッド、ダイアログを使用して、データや構成オプションを共通化された方法で表示します。これにより、ユーザーはシンプルな操作でモジュール間をシームレスに移動できます。ユーザー インタフェースに習熟したユーザーは、特定用途向けのカスタム ダッシュボードを作成することによって、生産性をさらに向上させることができます。たとえば、地域ごとや脅威の種類ごとの情報をカスタム ダッシュボードにまとめて表示できます。

Security Analyticsモジュール

Security Analyticsでは、管理タスク、分析タスク、レポート作成タスクがモジュール単位で構成されており、各モジュールがサービスの機能やタスクの論理的なグループとして編成されています。

  • ダッシュボードは、すべてのSecurity Analyticsモジュールのエントリー ポイントであり、他のモジュールの機能へのポータルをユーザーに提供します。
  • Administrationモジュールは、ホスト、デバイスとイベント ソース、サービスを管理および監視するためのユーザー インターフェイスです。ホスト、デバイス、イベント ソース、サービスを他のSecurity Analyticsモジュールから使用できるようにするには、まずAdministrationモジュールを使用して各コンポーネントを構成する必要があります。
  • Investigationモジュールは、Security Analyticsホストによって収集されたパケットを可視化するためのユーザー インタフェースです。Malware Analysisは、自動化されたマルウェア解析のユーザー インタフェースです。
  • Liveモジュールは、Liveコンテンツ管理システムを通じてユーザーが利用できるリソースにアクセスし、管理するためのユーザー インタフェースです。
  • ReportsモジュールとAlertsモジュールは、レポート作成やアラート通知機能を管理、表示するためユーザー インタフェースです。
  • Incidentsモジュールは、Security Analyticsにおけるインシデント管理機能を提供します。インシデント対応プロセスは、インシデント管理機能によって容易にトラッキングすることができます。インシデント管理には、次の機能が用意されています。

    • 一貫性のある方法でインシデントの対応をトラッキングします。
    • 生成されたアラートからセキュリティ インシデントを作成するプロセスを自動化します。
    • チームが根本原因を発見するために役立つビジネス コンテキストと調査ツールを提供します。
    • サード パーティ製ヘルプデスク システムと統合することにより、自動化された方法で改善プロセスをトラッキングします。
You are here
Table of Contents > Security Analyticsの概要

Attachments

    Outcomes