Live:Security Analyticsのフィードバックとデータ共有

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Security Analyticsのフィードバックとデータ共有機能について説明します。

これらの機能は、[Administration]>[システム]>[Liveサービス]ビューの[付加的なLiveサービス]セクションで設定できます。

付加的なLiveサービス

付加的なLiveサービスへの参加は、[Administration]>[システム]>[Liveサービス]ビューで構成されます。

Liveフィードバック

Liveフィードバックは、RSA Security Analyticsの向上のために使用されます。

Liveアカウントを設定および構成すると、使用状況データがRSAと共有されます。データは規定の使用許諾契約書に従って保護されます。使用状況のメトリックおよびSecurity Analyticsホストの現在のバージョンを含むお客様の使用状況データが、システムをインターネットに接続すると自動的にRSAと共有されます。

データがRSAに送信される前に、すべての個人情報が削除されます。したがって、匿名の使用状況データのみRSAに転送されます。

Live Connect脅威データ共有(ベータ)

RSA Live Connect脅威データ共有は、データを自動収集するサービスです。潜在的な脅威インテリジェンス データを、RSA Live Connectクラウド サービスに送信し、解析することを目的としています。あらゆるタイプのメタデータが共有される可能性があり、Security Analyticsの導入環境、構成、ネットワーク アクティビティ、アナリストの操作によって異なります。

このサービスはデフォルトで有効化されています。設定を変更する場合は、[Administration]>[システム]>[Liveサービス]ビューに移動します(不明な点は、カスタマー サポートに問い合わせください)。

メタ データは、Security Analyticsがローカルで収集し、匿名化して、RSA Liveクラウド サービスに安全に送信されます。RSA Live Connectクラウド サービスは、RSA Security Analyticsコミュニティ全体から収集されたその他のデータとともに、この情報を格納し、RSA Live脅威インテリジェンス サービスの向上に活用します。

注:ローカルで収集されたすべてのデータはID情報の削除と難読化を行い、RSA Live Connectクラウド サービスに安全にかつ匿名で送信され、安全な環境に格納されます。

説明

Live Connect脅威データ共有は、コミュニティ ベースの脅威インテリジェンス共有プラットフォームとして開発されました。

その特徴と目的は以下のとおりです。

  • クラウド ソース:RSAコミュニティ全体でインテリジェンスの収集に寄与します
  • RSAコミュニティから一元的にデータを収集し、分析します
  • インテリジェンス サイクルを数日から数分に短縮します

考慮する事項:

  • アナリストの調査アクティビティを活用しています
  • IPアドレスやドメイン名などのメタ データを収集しています
  • 複雑なデータ分析を行っています:トレンド分析、相関、異常の検出
  • この機能は、現在ベータ版です。

参加

お客様の参加は任意です。初期インストール時、またはSecurity Analytics 10.6へのアップグレード時に、確認画面が表示されます。デフォルトでは、参加する設定になっていますが、任意の時点で脱退できます。

クラウド認証

プログラムの認証はSecurity Analytics UIで行います。[Liveサービス]ページでLiveアカウントを構成します。

構成

Live Connect脅威データ共有の設定を確認または変更するには、Security Analyticsメニューで、[Administration]>[システム]>[Liveサービス]を選択します。プログラムに参加するか、参加をやめるには、[有効化]ボックスをオンまたはオフにします。

データ収集

データは次のように収集されます。

  • データ属性:匿名化
  • データ ソース:Security Analyticsコアのクエリーにより、Security Analyticsアナリストが表示したメタ キーとメタ値のサブセットを収集します。
  • クエリー ログ収集プロセス:

    • タイミング:24 時間ごとのバッチ(UTCの午前4時~午前6時)
    • ログ収集:Security Analyticsサーバは、過去24時間のSAコア デバイスのログ エントリーを収集します
    • ログ エントリー:Where句を含むSDK-Value/SDK-Query API呼び出しのみが収集されます。
    • ログ属性の解析:各エントリーには、次のいずれかのメタ キー インジケーターが存在する必要があります:ip.srcip.dstip.addrdevice.ipalias.ipalias.hostpaddrsessioniddomain.dstdomain.src。これらが含まれる場合、エントリーからメタ キーとメタ値が収集されます。

    注:上記の条件が満たされている場合、Security Analyticsはメタ キー インジケーターだけでなく、クエリーのすべてのメタ キーと値をクラウドに送信します。

ログ レポートは、JSON形式でSSL経由で送信されます。以下の項目が記載されています。

  • タイムスタンプ
  • Live CMSユーザー名(sha256)
  • Security Analyticsのライセンス サーバID(sha256)
  • SAエンドポイントIDのリスト(sha256)
  • 収集されたメタ値(MD5、SHA256ハッシュ)

このセクションでは、ログ エントリーと、それに対応する送信データを示します。

ログ エントリー:

User admin (session 204298, 10.4.50.60:57454) has issued values (channel 205237) (thread 2332): fieldName=filter id1=1 id2=23138902 threshold=100000 size=20 flags=sessions,sort-total,order-descending,ignore-cache where="(alias.host = 'mail.google.com') && (ip.src = 161.253.31.130) && time=\"2015-12-07 18:08:00\"-\"2015-12-07 21:07:59\"“

送信データ(ハッシュ付き):

トラブルシューティング

このセクションでは、Live Connect脅威データ収集のトラブルシューティングについて概要を説明します。

クエリー ログ取得の例

Live Connectに送信される脅威インテリジェンス データのサンプルを取得するには、URLに次のパラメータを指定してアクセスします。

  • sendReport:値はtrueまたはfalse:このレポートをLive Connectサーバに送信する場合はtrueです。レポートを表示するだけの場合はfalseです。デフォルト値はfalseです。
  • hashValues:値はtrueまたはfalse:md5/sha256で値をハッシュする場合はtrueです。平文で値を表示する場合はfalseです。falseは手動でレポートを表示する場合にのみ指定してください。デフォルトはfalseです。
  • startDate/endDate:ログ エントリーの時間範囲の日付。形式:YYYY-MM-DD HH:mm:ss

クエリー ログを取得するURLの例を次に示します。

https://<server>/admin/liveconnect/force_aggregation?startDate=2016-01-18%2000:00:00&endDate=2016-01-19%2010:10:00&sendReport=false&hashValues=true

システム ログ:デバッグ

次の手順を実行し、デバッグ情報を表示できます。

  1. Security Analyticsメニューで、[Administration]>[システム]>[システム ログ]を選択します。
  2. 設定]タブを選択します。
  3. [Package Configuration]セクションで、[com]>[netwitness]>[platform]>[server]>[liveconnect]>[service(DEBUG)]を選択します。

You are here
Table of Contents > 参考資料 > Security Analyticsのフィードバックとデータ共有

Attachments

    Outcomes