ホストGS:基本的な操作

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

ホストは、サービスが実行されるマシンであり、物理マシンであることも、仮想マシンであることもあります。

サービスは、ログの収集やデータのアーカイブなど、固有の機能を実行します。各サービスは、専用ポートで実行され、ホストの機能に従って有効化または無効化するプラグ インとして提供されます。

最初に次のコア サービスを構成する必要があります。 

  • Decoder
  • Concentrator
  • Broker
  • Log Decoder

すべてのサービスを次に示します。Log Collectorを除く各サービスについては、それぞれのガイドまたは共通のガイドが「ホストおよびサービスの構成ガイド」に記載されています。Log Collectorには、すべてのサポートされるイベント収集プロトコルの構成を処理するための独自の構成ガイドがあります。Log Collectorについては、「ログ収集ガイド」を参照してください。

  • Archiver
  • Broker
  • Concentrator
  • Decoder
  • Event Stream Analysis
  • Context Hub
  • Incident Management
  • IPDB Extractor
  • Log Collector
  • Log Decoder
  • Malware Analysis
  • Reporting Engine
  • Warehouse Connector
  • Workbench

ホストやサービスがデータの格納や収集などの機能を実行するには、ネットワークおよび他のホストやサービスと相互に通信するようにホストとサービスを構成する必要があります。 

ホストのメンテナンス

[ホスト]ビューを使用して、導入環境内のホストの追加、編集、削除、その他のメンテナンス タスクを実行します。以下を参照してください。

Security Analyticsの初期実装後、[ホスト]ビューから実行する主なタスクは、Security Analytics導入環境を新しいバージョンに更新することです。

更新のバージョン命名規則

[ホスト]ビューを使用してローカル更新リポジトリから最新バージョンの更新を適用します(ローカル更新リポジトリの詳細については、「システム メンテナンス」の「Security Analyticsでの更新の管理」トピックを参照してください)。ホストに適用するバージョンを区別するために、更新のバージョン命名規則を理解しておく必要があります。命名規則は、メジャー リリース.マイナー リリース.サービス パック.パッチです。たとえば、10.6.1.2 を選択した場合、次のバージョンがホストに適用されます。

  • 10 = メジャー リリース
  •   6 = マイナー リリース
  •   1 = サービス パック
  •   2 = パッチ

ホストのバージョンの更新

[ホスト]ビューを使用して、ホストを新しいバージョンに更新します。次の例ではこの方法を示しています。ホストに対するバージョンの更新がある場合、[ステータス]列に「更新あり」と表示されます。[バージョンの選択]列で更新を選択します。新しいバージョンの更新をホストに適用する方法の詳細な手順については、「 更新の適用 」を参照してください。

注:バージョンが見つからない場合、ローカル更新リポジトリへの取り込みが必要になることがあります。詳細については、「システム メンテナンス」の「ローカル更新リポジトリに取り込む」トピックを参照してください。

HstVw-Basics.png

                         
 1  更新のバージョン]列からバージョンを選択します。

注:最新のマイナー リリースまたはパッチにのみ更新できます。

 2 

更新するホストを選択します。

  • 導入環境でSA(Security Analyticsサーバ ホストを最新バージョンに更新した後、そのバージョンを他のホストに適用する必要があります。
  • 更新の対象として複数のホストを選択した場合、Security AnalyticsではSAサーバ ホストが最初に更新されます。
  • 導入環境で、SAサーバ ホストを更新する前に、SAサーバ ホスト以外のホストを最新バージョンに更新しようとしても、Security Analyticsでこの操作を実行することはできません。
  • ホストの現在のバージョンが有効な更新パスのバージョンではない場合、Security Analyticsによって、ホストを有効なパスに更新する方法についてカスタマー サポートに問い合せるよう求めるメッセージが表示されます。

注:SAサーバ以外のホストのいずれかに更新の競合がある場合、SAサーバ ホストは、他のホストの競合が解決されるまでグレー表示のままです。

 3  更新]をクリックして更新プロセスを開始します。
 4 

ステータス]列で、更新の進行状況を監視します。更新プロセスの実行中に、Security Analyticsによって次の処理が行われます。

  1. ローカル更新リポジトリに選択したバージョンのパッケージがない場合は、その更新パッケージをダウンロードします。
  2. 更新する複数のホストを選択している場合、各ホストにバージョンを適用している間、「更新キューに登録済み」と表示します。
  3. 現在のバージョンの構成を確認している間、「更新前のチェックを実行しています」と表示します。 
  • 既存の構成に新しいバージョンへの更新を妨げない問題がある場合は、「更新の警告。詳細の表示」と表示します。
  • 既存の構成に新しいバージョンへの更新を妨げる競合がある場合は、「更新が競合しています。詳細の表示」と表示します。 

これらの構成の警告および競合を解決する方法については、トピック: 10.6の更新前および更新の警告、競合、エラーのトラブルシューティング を参照してください。

  1. 競合がない場合、更新を開始します。
  2. 選択した更新バージョンの各パッケージを適用します。
  3. 更新を監視します。更新を妨げるエラーが発生した場合、Security Analyticsは「更新エラー。詳細の表示」と表示します。これらのエラーを解決する方法については、トピック: 10.6の更新前および更新の警告、競合、エラーのトラブルシューティング を参照してください。
  4. ホストが更新された後、ホストの再起動を求めるメッセージを表示します。
 5 

ホストの再起動]をクリックします。

  • 複数のホストを更新している場合、各ホストが更新され、実行されると、Security Analyticsによって「最新」と表示されます。
  • ホストが更新され、再起動された後、すべてのサービスが再開されていない場合、Security Analyticsはそのサービスを赤で表示します。サービスがオンラインになるまでに数分かかる場合があります。ホストがオンラインに戻らない場合は、カスタマー サポートにお問い合わせください。

複数のバージョンの導入

Security Analyticsは、導入環境内での複数のバージョンの使用をサポートしています。SA(Security Analytics)サーバ ホストが最初に更新され、他のすべてのホストはSAサーバ ホストと同じバージョンまたはそれ以前のバージョンである必要があります。

注:[ホスト]ビューにより、SAサーバ ホストが最初に更新されており、他のすべてのホストはSAサーバ ホストと同じまたはそれ以前のバージョンであることを確認できます。

次に示す複数バージョンの導入環境の例では、

  • ローカル更新リポジトリで、Broker、LC/LD、Log Decoderホストについて現在利用可能なバージョンの更新は、10.6.1.0および10.5.1.4です。
  • SAサーバ ホストとその他のすべてのホストは、現在10.6.1に更新されています。

この場合、Broker、LC/LD、Log Decoderの各ホストは、10.6.1.0または10.5.1.4に更新することができます。

HstVw-Multi-Version.png

サービスのメンテナンス

[サービス]ビューを使用して、導入環境内のサービスの追加、編集、削除、監視、その他のメンテナンス タスクを実行します。[ホスト]ビューから実行するタスクの詳細な手順については、トピック:サービスの処理手順 を参照してください。

You are here
Table of Contents > 基本的な操作

Attachments

    Outcomes