SA構成:Investigationの設定の構成

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、構成中のSecurity Analyticsインスタンス上のすべてのInvestigationに適用される設定を構成する管理者への指示について説明します。Security Analytics Investigationの動作の構成とチューニングの設定は、[システム]ビュー>[Investigation]パネルで行うことができます。これらの設定は、Security Analyticsの現在のインスタンスのすべてのInvestigationおよび再構築操作に適用されます。

ナビゲート、イベント、コンテキスト ルックアップ設定の構成

  1. Security Analyticsメニューで、[Administration]>[システム]を選択します。
  2. [オプション]パネルで、[Investigation]を選択します。
    [Investigation]パネルが表示されます。
  3. ナビゲート]タブの[描画スレッド設定]フィールドで、[ナビゲート]ビューの単一ユーザーがロードしたコンカレント メタ キー値の最大数を選択します。適用をクリックします。
  4. ナビゲート]タブの[座標表示の設定]セクションで、スキャンするメタ値の上限と、座標チャートに含めることができるメタ値の結果の上限を設定します。高パフォーマンスを実現するための推奨設定は次のとおりです。メタ値スキャン制限 - 100,000およびメタ値結果の制限1,000 - 10,000
    Apply]をクリックします。
  5. イベント]タブの[イベント検索設定]セクションで、スキャンされるイベントと、分析者が[イベント]ビューでイベント検索を実行した時に表示されるイベント結果の最大数を設定します。適用をクリックします。
  6. イベント]タブの[再構築の設定]セクションで、単一イベントの再構築で処理されるデータ量の制限を設定します。デフォルト値は最大100パケット、2,097,152バイトです。Investigation中のセッションの再構築時に分析者がセッションのパフォーマンス低下を認識した場合は、再構築設定を調整しなければならない場合があります。[適用]をクリックします。

注意:値を大きくすると、イベントを再構築するのに要する時間とメモリが増加し、Security Analyticsサーバのパフォーマンスに影響します。値をゼロに設定すると、一切の制限が無効になり、Security Analyticsサーバがクラッシュする可能性があります。

  1. (オプション)[イベント]タブの[Webビューの再構築]>[設定]セクションで、Webビュー再構築でのサポート ファイルの使用を有効化して、Webビュー再構築を構成するための追加設定を行います。これらの設定には、関連イベントをスキャンする時間(秒単位)、スキャンする関連イベントの最大数、再構築設定をWebビュー再構築で使用するための上書きなどがあります。適用をクリックします。
  2. コンテキスト ルックアップ]タブで、Context Hubのメタ タイプとInvestigationのメタ キーとのマッピングを管理します。Context HubではInvestigationでサポートされているメタ タイプのリストにメタ キーを追加したり、リストからメタ キーを削除したりすることができます。このタブに関連する手順については、InvestigationおよびMalware Analysisガイド」の「メタ タイプとメタ キーのマッピングの管理」を参照してください。

サービスの再構築キャッシュのクリア

再構築キャッシュ設定を使用して、管理者は1つまたは複数のサービスのキャッシュをクリアできます。たとえば、管理者は単一のBrokerのキャッシュをクリアすることも、BrokerとDecoderのキャッシュをクリアすることも、接続されているすべてのサービスのキャッシュをクリアすることもできます。古くなったキャッシュが再構築に使用される理由はいくつかあります。

  • ダウンストリーム サービスのセッションが無効化されているか、データがリセットされている場合があります。例として、InvestigationでBrokerを参照する場合、またはダウンストリームのConcentratorまたはDecoderでデータがリセットされる場合、ダウンストリーム サービスがリセットされて再設定されると、Investigationサービス(Broker)のメタ データとセッション データがコンテンツに一致しなくなります。Investigationの再構築にはキャッシュからのコンテンツが表示され、これは実際のコンテンツと一致していません。Decoderがオフラインの場合でも、Brokerの再構築には、コンテンツが引き続き表示されます。Broker上でキャッシュをクリアすると、Security AnalyticsはDecoderにアクセスし、Decoderがオフラインであるためにエラーが返されます。
  • ダウンストリーム サービスのサービスIDが変更されたときも、キャッシュが古くなる場合があります。サービスIDの変更は、Security Analyticsへのサービスのエクスポート、インポート、削除、追加を行った場合に発生します。これは、Security AnalyticsがサービスIDを再使用することがあるためです。この場合、Brokerのキャッシュをクリアすると、Security Analyticsは各サービスからデータをリクエストするようになります。

再構築キャッシュをクリアするには、次のいずれかを実行します。

  1. 1つまたは複数のサービスについてキャッシュをクリアするには、サービスを選択して、[選択したサービスのキャッシュをクリア]をクリックします。
  2. リストに表示されているすべてのサービスのキャッシュをクリアするには、[すべてのサービスのキャッシュをクリア]をクリックします。
    選択したサービスの再構築キャッシュがクリアされます。Security Analyticsは、データ リクエストを各サービスに送信します。
You are here
Table of Contents > 標準的な手順 > Investigationの設定の構成

Attachments

    Outcomes