ベスト プラクティスは、ルールの記述と管理、ルールの導入、ESAサービスのシステム稼働状態の維持のガイドラインとなります。
Event Stream Analysisルール タイプの理解
Event Stream Analysisサービスは、相関イベントや複雑なイベント処理など、詳細なストリーム解析を高スループットかつ低レイテンシで提供します。ESAでは、Concentratorからの大量の雑多なイベント データを処理することができます。ただし、Event Stream Analysisを使用する場合は、効率的なルールを作成するために、リソース使用率に影響する要因を理解しておく必要があります。
ESAは、受信するすべてのイベントを個別に評価し、それがアラートをトリガーするかどうかを判断します。ルールには3つのタイプがあり、タイプによってESAエンジンが受信イベントをどのように処理するかが決まります。3つのルール タイプは、それぞれにシステム リソースの使用率に異なるインパクトを与えます。3つすべてのルール タイプは、ルール ビルダまたは詳細EPLを使用して作成するか、RSA Liveからダウンロードすることができます。次の表に、ルール タイプとこのルールがシステム リソースに与えるインパクトをまとめています。
前述したメモリの使用量以外にも、アラートが生成されるとシステム リソースが消費されます。生成されたそれぞれのアラートは参照のためにディスクに格納され、NetWitness Respondによって処理される必要があります。この処理により、格納のためのディスク領域が使用され、データベース メモリが消費され、クエリを実行するCPUの使用率が上昇します。
ルールを作成し導入するときは、これらのアクションのそれぞれがシステム リソースに「負担をかける」ということを認識する必要があります。次のセクションは、使用率を健全なレベルに維持して、システムが過負荷状態になったときに生じる問題を監視するための参考になります。
ルール作成のベスト プラクティス
ルールを作成するための一般的なガイドラインを以下に示します。
- アクションが必要なイベントに対してアラートを作成します。アラートの目的は、ただちに特定のアクションが必要となるイベントをユーザに通知することです。アクションが必要でないイベントの場合、またはイベントを認識するだけで問題がない場合は、レポートを作成できます。
- 新しいルールを評価版ルールとして構成し、実際の環境でルールの動作を観察します。新しいルールを評価版ルールとして導入した場合は、構成されたメモリ閾値を超えるとルールが無効化されます。メモリ スナップショット機能を使用して、評価版ルールが無効化されたときに使用されていたメモリ量を表示することもできます。詳細については、「評価版ルールの使用」を参照してください。
- ルールのテストとチューニングが完了した後で初めて、アラート通知を構成します。これにより、ルールが予想外の動作をした場合に大量のアラートが生成されることを防ぎます。
- リソースの使用量を制限するために、ルールは具体的なものにします。使用量を制限するには、次のガイドラインに従います。
- ルールのフィルタで、ルールを正確に起動させるのに必要なイベント以外のものを除外します。
- ウィンドウ(相関のタイム ウィンドウ)のサイズをできるだけ小さくします。
- ウィンドウに含めるイベントを制限します。たとえば、IDSイベントだけを確認する場合は、タイム ウィンドウにIDSイベントだけが含まれるようにします。
- 管理可能なレベルのアラートを生成するようルールを調整します。大量のアラートが発生するようでは、アラートの目的と実用性は失われます。たとえば、他の国へ向けた暗号化されたトラフィックについて知りたいとします。ここで、リストを既知のリスクがある国に限定することができます。これにより、アラートのボリュームが管理可能なレベルに制限されます。
RSA Liveルールを使用するベスト プラクティス
RSA Liveルールのガイドラインを以下に示します。
- RSA Liveルールを小さなバッチに分けて導入します。すべてのルールがあらゆる環境に適しているわけではありません。RSA Liveルールを正常に導入するための最善の方法は、ルールを小さなバッチで導入し、実際の環境でテストすることです。小さなバッチで導入すれば、問題のあるルールを特定するのがはるかに容易になります。
- RSA Liveルールの説明を読みます。ESAルールは「それ1つでどんな場合にも適応できる」ものではありません。ご使用の環境ですべてのルールが機能するわけではありません。ルールの説明には、実際の環境にルールを正常に導入するためにはどのパラメータを変更する必要があるかが記載されています。
- パラメータを設定します。 RSA Liveルールには、変更が必要なパラメータがあります。パラメータを変更しない場合は、ルールが機能しない、またはメモリを使い切ってしまう可能性があります。
- 新しいルールを評価版ルールとして導入し、実際の環境でルールの動作を観察します。 新しいルールを評価版ルールとして導入した場合は、構成されたメモリ閾値を超えるとルールが無効化されます。詳細については、「評価版ルールの使用」を参照してください。
ルールを導入するためのベスト プラクティス
ルールを導入するための一般的なガイドラインを以下に示します。
- ルールを小さなバッチに分けて導入し、実際の環境でルールの動作を観察します。 すべての環境が同じではありません。メモリ使用量、アラートのボリューム、イベントの検出効率を元に、ルールを調整する必要があります。
- アラート通知を構成する前にルールをテストします。ルールのテストとチューニングが完了した後で初めて、アラート通知を構成します。これにより、ルールが予想外の動作をした場合に大量のアラートが生成されることを防ぎます。
- 導入プロセスの一部として、システムの稼働状態を監視します。ルールを導入するときは、導入プロセスの一部として、システムの稼働状態を監視します。[ヘルスモニタ]タブで、ESAでのメモリの合計使用率を表示できます。詳細については、「ESAのトラブルシューティング」の「ヘルスモニタの統計の表示」を参照してください。
システム稼働状態のベスト プラクティス
システムの稼働状態の一般的なガイドラインを以下に示します。
- 新しいルールを評価版ルールとしてセットアップします。新しいルールには、メモリの問題を引き起こす可能性があるという共通した問題があります。新しいルールを評価版ルールとしてセットアップすることで、これを防ぐことができます。構成されたメモリ閾値に達した場合、すべての評価版ルールが無効化され、システムがメモリを完全に消費するのを防ぎます。 評価版ルールの詳細については、「評価版ルールの使用」を参照してください。
- ヘルスモニタ モジュールで閾値をセットアップしてメモリの使用量が多すぎる場合にアラートを生成します。ヘルスモニタ モジュールには、メモリの使用量を追跡するメトリックがあります。アラートと通知をセットアップして、これらの閾値を超えた場合にメールを送信するようにします。 表示できるメモリ統計の詳細については、「ESAのトラブルシューティング」の「ヘルスモニタの統計の表示」を参照してください。
- ヘルスモニタ モジュールでルールごとにメモリ メトリックを監視します。ヘルスモニタ モジュールでルールごとに推定メモリ使用量を表示できるようになりました。この情報を使用してルールで大量のメモリが使用されないようにすることができます。表示できるメモリ統計の詳細については、「ESAのトラブルシューティング」「ヘルスモニタの統計の表示」を参照してください。