SA:用語

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

A

                               
用語説明
AdministrationモジュールAdministrationモジュールは、ホスト、デバイス、サービスを管理および監視するためのユーザー インタフェースです。ホスト、デバイス、サービスを他のSecurity Analyticsモジュールから使用できるようにするには、まずAdministrationモジュールを使用して各コンポーネントを構成する必要があります。
AlertsSecurity Analytics Alertsモジュールは、自動アラート機能を使用するためのユーザー インタフェースです。
Anonymised data(匿名データ)「個人データセットから特定の個人を識別可能な要素をすべて削除した場合、そのデータは匿名化されています。匿名化された情報には、相応の努力をすれば個人を再特定できるような要素が残っていてはいけません。適切に匿名化されたデータは個人データではなくなります。」 (出典:EU_DP_LAW_HANDBOOK)この用語は、Security Analyticsデータ プライバシー ソリューションに関連する用語です。
匿名化Privacy Technology Focus Groupは、匿名化を、クリア テキスト データを非ヒューマンリーダブルな不可逆データに変換するテクノロジーと定義づけています。一方向ハッシュや復号化キーを破棄する暗号化テクノロジーなどが使用されますが、これらに限定されません。この用語は、Security Analyticsデータ プライバシー ソリューションに関連する用語です。
ArchiverRSA Archiverは、ログ データを長期保存するためのアプライアンスです。ログ データのインデックス作成と圧縮を行い、アーカイブ ストレージに送信します。 

B

                
用語説明
BrokerRSA Brokerは、Security Analyticsネットワークのアプライアンスおよびサービスです。Brokerは、構成済みのConcentratorによって収集されたデータを集計します。Concentratorは、Decoderからのデータを集計します。したがって、Brokerはインフラストラクチャ全体の各種のDecoder/Concentratorに保持された複数のリアルタイム データストアを中継する役割を担います。

C

                                
用語説明
Capacity(キャパシティ)Security Analyticsのキャパシティ(外部ストレージ)は、直接接続(DAC)またはSAN(ストレージ エリア ネットワーク)を使用したモジュール型のアーキテクチャで構成され、組織における短期間の調査や、長期間の分析およびデータ保存のニーズに対応します。
コレクションコレクションは、ログ データを格納するためのログ保存セットです。各コレクションについて、総ストレージ領域に対する使用上限とコレクション内のログを保持する日数を指定できます。コレクションは、Archiverで構成します。
ConcentratorRSA Concentratorは、Security Analyticsネットワークのアプライアンスおよびサービスです。Concentratorは、ネットワーク トラフィックまたはログ データから抽出したメタデータのインデックスを作成し、エンタープライズ環境全体にわたるクエリーとリアルタイム分析で利用可能にします。また、レポート作成やアラート通知を容易に実行できるようにします。
コア データベースパケット、メタ、セッション、インデックス データの組み合わせを指します。
コア サービスSecurity Analyticsのコア サービスは、データの取得とパース、メタ データの生成、生成されたメタ データとrawデータの集計を行います。コア サービスには、Decoder、Log Decoder、Concentrator、Brokerがあります。

D

                           
用語説明
Dashboard(ダッシュボード)Security Analyticsダッシュボードは、Security Analyticsにログオンしたときに、ブラウザに表示されるユーザー インタフェースです。汎用的な意味で、ダッシュボードと呼ばれる場合もあります。例:Security Analyticsダッシュボード内にカスタム ダッシュボードを作成することができます。具体的な意味では、「Security Analyticsダッシュボード」は「Unifiedダッシュボード」に代わるものです。
DecoderRSA Decoderは、Security Analyticsネットワークのアプライアンスおよびサービスです。Security Analyticsネットワークでは、パケット データはDecoderと呼ばれるアプライアンスによって収集され、ログ イベントは、Log Decoderによって収集されます。Decoderは、レイヤー2~7におけるすべてのネットワーク トラフィック、あるいは数百ものデバイスのログおよびイベント データを収集、パース、再構築します。
Downstream system and components(ダウンストリーム システムとコンポーネント)コア コンポーネントとは逆に、ダウンストリーム システムは、コア サービスに格納されているデータを使用して分析を行います。したがって、ダウンストリーム サービスの動作はSecurity Analyticsコア サービスに依存します。ダウンストリーム システムは、Archiver、Warehouse、ESA、Malware Analysis、Investigation、Reportingです。
Drill Point(ドリルダウン ポイント)アナリストが[Investigation]ビューでクエリーやフィルタを使用して絞り込んだデータセット。アナリストは、収集されたデータにドリルダウンして、有害なファイルまたはコードが隠れている可能性があるデータを見つけます。

E

                   
用語説明
Event Stream Analysis (ESA)RSA ESA(Event Stream Analysis)アプライアンスは、相関イベントや複雑なイベント処理など、詳細なストリーム解析を高スループットかつ低レイテンシで提供します。ESAでは、Concentratorからの大量の雑多なイベント データを処理することができます。アナリストは、ESAの先進的なイベント処理言語によって、いくつもの異なるイベント ストリームを対象に、フィルタリング、集計、結合、パターン認識、相関を設定することができます。Event Stream Analysisによって、強力なインシデント検出やアラート通知を実装することができます。
EPS秒あたりのイベント数。データを取得するRSAホストの処理能力を測定する単位です。

F

               
用語説明
Forensics Implementation(フォレンジック実装)フォレンジック実装では、Security Analyticsの基本構成に加え、Decoder、Concentrator、Broker、ESA、Malware Analysisのコンポーネントが必要です。Incident Managementサービスはオプションのコンポーネントです。このコンポーネントは、ESAシステムで稼働し、アラートの優先度を付けるために使用されます。

G

               
用語説明
Global Audit Logging(グローバル監査ログ)

グローバル監査ログは、Security Analytics監査者への一元的かつリアルタイムな監査ログの提供により、Security Analytics内でのユーザー アクティビティに対する統合的な可視化を実現します。表示される情報には、Security AnalyticsシステムとSecurity Analyticsインフラストラクチャのさまざまなサービスから収集された監査ログが含まれます。

H

                   
用語説明
Hash(ハッシュ)機密データを保護するための難読化の方法です。
Host(ホスト)FQDN(完全修飾ドメイン名)またはIPアドレスで指定される物理機器または仮想マシン。ホストには、すべてのSecurity Analyticsサービス(つまり、Security Analytics Server、Applianceサービス、Archiverサービス、Brokerサービス、Concentratorサービス、Brokerサービス、Decoderサービス(PacketおよびLog)、Hybrid、Malware Analysisサービス、Event Stream Analysisサービス、Log Collectorサービス、Security Analytics Warehouseサービス、Workbenchサービス、Reporting Engineサービス、IPDB Extractorサービス)がインストールされます。

I

                               
用語説明
Identifiability(識別可能性)ある情報から個人を特定することができることを意味します。また、直接特定できない場合でも、その情報を元にさらに調査を行えば個人の特定が可能となる場合も該当します。(出典:EU_DP_LAW_HANDBOOK)この用語は、Security Analyticsデータ プライバシー ソリューションの説明で使用されます。
Incident ManagementサービスIncident Managementサービスは、ESAシステムで稼働し、アラートの優先度を付けるために使用されます。
IncidentsモジュールIncidentsモジュールは、Security Analyticsにおけるインシデント管理機能を提供します。インシデント管理機能を使用すると、インシデント対応プロセスを容易にトラッキングできます。
Index(インデックス)インデックスは一連のファイルの集合で構成され、メタ値を使用してセッションIDを検索する手段を提供します。
InvestigationモジュールInvestigationモジュールは、Security Analyticsアプライアンスによって収集されたパケットとログをビジュアル化および再構築するためのSecurity Analyticsユーザー インタフェースです。

J

               
用語説明
Job System(ジョブ システム)Security Analyticsのジョブ システムで時間のかかるタスクを開始しても、ジョブの実行中にSecurity Analyticsの他の機能は継続して使用することができます。タスクの進行状況を監視できるだけでなく、タスクが完了したこと、また結果が成功か失敗かの通知を受け取ることができます。Security Analyticsのユーザー インタフェースでは、ツールバーからジョブのクイック ビューを開くことができます。

L

                   
用語説明
LiveモジュールLiveモジュールは、Liveコンテンツ管理システムを通じてユーザーが利用できるリソースにアクセスし、管理するためのSecurity Analyticsユーザー インタフェースです。
Log DecoderLog Decoderは、パケットではなくログを収集するタイプのDecoderです。Syslog、ODBC、Windowsイベント、フラット ファイルの4種類のログを収集できます。

M

                                           
用語説明
Malware AnalysisMalware Analysisは専用アプライアンスを使用する場合と、Security Analytics上にサービスを共存させる場合があります。Malware Analysisは自動化されたマルウェア分析に使用され、Investigationモジュールからアクセスできます。
Message Digest(メッセージ ダイジェスト)一方向ハッシュ関数を使用して、任意の長さのデータを固定長のバイト シーケンスに変換します。データ プライバシー ソリューションで使用されます。
Meta DB(メタ データベース)メタ データベースには、DecoderまたはLog DecoderによってRAWデータ ストリームから抽出された情報が格納されます。メタ アイテムは、Parser、ルール、Feedが生成します。
Meta ID(メタID)メタ データベース内のメタ アイテムを一意に識別するための数値。
Meta Data(メタ データ)またはMeta Items(メタ アイテム)Decoderがrawデータを取得してパースし、メタ アイテム(メタ データ)を作成します。
Meta Key(メタ キー)各メタ アイテムのタイプをクラス分けするための名前。よく使用されるメタ キーとして、ip.src、time、serviceなどがあります。
Meta Value(メタ値)それぞれのメタ アイテムには、値が格納されています。個々のParser、Feed、ルールによって生成される内容がこの値によって表されます。
従量制ライセンス従量制ライセンスは、ログ(SIEM)またはネットワーク パケット(ネットワーク モニタリングとネットワーク マルウェア)の1日あたりのスループットに基づいたSecurity Analyticsのライセンス方法です。システムの導入要件とお客様のデータ保存要件を満足するハードウェアを別途購入する必要があります。

N

               
用語説明
NetWitnessまたはNextGenデバイスRSA Broker、Concentrator、Decoder、Log Decoder、Log Collector。NextGenデバイスまたはNetWitnessデバイスという用語が使用されている場合は、コア デバイスと読み替えてください。

O

                   
用語説明
Out-of-the-box評価版ライセンスSecurity Analytics 10.5にはデフォルトで評価版ライセンスが付属しており、全ての機能を90日間使用できます。90日の起点は、Security Analyticsのユーザー インタフェースが構成され、初めて使用されたときです。
Out-of-Compliance(コンプライアンス違反)バナーライセンスの有効期限が切れている場合、または使用制限を超過している場合、ログオン時に赤いバナーが表示されます。ライセンスに内部エラーが発生している場合にも、赤いバナーが表示されます。赤いバナーは消すことができません。ライセンスの有効期限が近づいている場合、または使用制限に近づいている場合、システムへのログオン時に黄色いバナーが表示されます。黄色いバナーは[非表示]ボタンをクリックすると、消すことができます。

P

                       
用語説明
Packet ID(パケットID)パケット データベース内のパケットやログを一意に識別するための数値。
Packet DB(パケット データベース)パケット データベースには、収集されたRAWデータが格納されます。Decoderでは、パケットがネットワークから収集されたままの状態でパケット データベースに格納されます。Log Decoderは、パケット データベースを使用してrawログを格納します。パケット データベースに格納されたRAWデータには、パケットIDでアクセスできます。ただし、このIDは通常、エンド ユーザーからは見えません。
Personal Data(個人データ)EU法では、個人データは、特定の人または特定可能な人に関連する情報と定義されています。つまり現時点で明白に個人を特定する情報、または追加情報を入手することで明白に特定できる可能性のある情報が含まれます。(出典:EU_DP_LAW_HANDBOOK)

R

                       
用語説明
RSA Analytics WarehouseHadoopベースの分散コンピューティング システムで構成されます。長期間(数か月、数年など)にわたってセキュリティ データを収集および管理して、分析やレポートを可能にします。Warehouseは、組織におけるデータの分析やアーカイブ、取り出しなどの要件に応じて、3ノード以上のクラスタで構成します。メタやイベントをDecoderやLog Decoderから収集して、Hadoopベースの分散コンピューティング システムにAVRO形式で書き込むためには、Warehouse Connectorというサービスが必要です。
ReportsモジュールReportsモジュールは、自動化されたレポート作成機能を提供するSecurity Analyticsユーザー インタフェースです。
Roles(ロール)Security Analyticsでは、ユーザーが実行可能な操作をロールとして定義します。ロールには権限が割り当てられており、各ユーザーにロールを割り当てる必要があります。これにより、ユーザーはロールで許可されている操作を実行できます。

S

                                                       
用語説明
Security Analytics Core(旧NextGen)Security Analytics Coreスイートには、Decoder、Log Decoder、Concentrator、Broker、Archiver、Workbenchが含まれます。
Security Analyticsサーバレポート、Investigation、Administrationおよびその他の分析用インタフェースを提供するWebサーバです。また、Warehouseに保持されたデータからレポートを作成することもできます。
Sensitive Data(機微データ)一部の地域、たとえばEU(欧州連合)では、プライバシーに関わる機微データを処理する情報システムでは情報の保護手段を装備することが規制によって義務づけられています。「いつ、誰が、何を」したかを直接的または間接的に表すデータはすべて、個人データまたは機微データと見なされます。
Service(サービス)サービスはホスト上で実行され、ログの収集やデータのアーカイブなど、固有の機能を実行します。Security Analyticsサービスには、Archiver、Broker、Concentrator、Decoder、Event Stream Analysis、Incident Management、IPDB Extractor、Log Collector、Log Decoder、Malware Analysis、Reporting Engine、Warehouse Connector、Workbenchがあります。
Service-based(サービス ベース)ライセンスサービスごとに適用される永続的なSecurity Analyticsライセンスです。有効期限はありません。サービス ベース ライセンスは、ライセンスを必要とするすべてのアプライアンスに適用できます。
Session(セッション)Packet Decoderでは、単一の論理ネットワーク ストリームをセッションと呼びます。たとえば、TCP/IP接続は1つのセッションです。Log Decoderでは、各ログ イベントが1つのセッションになります。各セッションには、そのセッションを構成するすべてのパケットIDとメタIDへの参照が含まれています。
Session ID(セッションID)セッション データベース内のセッションを一意に識別するための数値。
Session DB(セッション データベース)セッション データベースには、セッションに対してパケットとメタ アイテムを関連づける情報が格納されます。
  
SIEMの実装SIEM(Security Information and Event Management)実装では、Security Analyticsの基本構成として、Log Decoder、Concentrator、Broker、ESA(Event Stream Analysis)、Security Analyticsサーバ コンポーネントが必要です。
Subscription(サブスクリプション)ライセンスSecurity Analyticsのサブスクリプション ライセンスは、特定の期間(12~36か月)に対して提供されます。ライセンスされた後は、サブスクリプション ライセンスをキャンセルまたはダウングレードすることはできません。

T

               
用語説明
Transient(一時的)データSecurity Analyticsでは、一時的データはディスクに保存されません。DecoderおよびLog Decoderサービスの[構成]ビューのParser構成セクションまたはカスタム インデックス ファイル内でメタ キーをTransient(一時的)に設定した場合、そのメタ キーはディスクに保存されません。ただし、メモリには保存されるため、上書きされるまで分析に使用することができます。

V

               
用語説明
Virtual Host(仮想ホスト)(正式には仮想アプライアンス)FQDN(完全修飾ドメイン名)またはIPアドレスによって指定された仮想マシン。仮想ホスト上で、Security Analyticsサービス(つまり、Applianceサービス、Archiverサービス、Brokerサービス、Concentratorサービス、Decoderサービス(PacketおよびLog)、Hybrid、Malware Analysisサービス、Event Stream Analysisサービス、Log Collectorサービス、Security Analytics Warehouseサービス、Workbenchサービス、Reporting Engineサービス、IPDB Extractorサービス)を実行できます。Security Analyticsアプライアンスの仮想インスタンスです。

W

                   
用語説明
Warehouse ConnectorWarehouse Connectorは、メタやイベントをDecoderから収集して、Hadoopベースの分散コンピューティング システムにAVRO形式で書き込みます。Warehouse Connectorは、既存のLog DecoderまたはDecoder上のサービスとして設定することも、仮想環境内の仮想アプライアンスとして実行することもできます。
WindowsイベントWindowsイベントはLog Decoderに関係するもので、Windows 2008のイベント ログを収集でき、フラット ファイルではSFTPを介してログを収集できます。

 

 

 

Previous Topic:ダッシュレット
Next Topic:手順
You are here
Table of Contents > Security Analyticsの概要 > 用語

Attachments

    Outcomes