Decoder:DecoderおよびLog Decoderのクイック セットアップ

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

基本のRSA NetWitness® Platformネットワークには、最小構成でBroker、Concentrator、Decoderが含まれています。BrokerはConcentratorからデータを集約し、Concentratorは少なくとも1つのNetwork DecoderまたはLog Decoderのデータを利用します。基本のネットワークには、両方のタイプのDecoderを含めることができます。Network Decoderは通常Decoderと呼ばれ、パケット形式でネットワーク データを収集します。Log Decoderはイベントとしてログ データを収集します。

Decoderを追加するとNetWitness Platform、Administration、Live Services、Investigateで表示および使用できるようになります。NetWitness Platformにサービスを追加するには、サービスのタイプを選択し、サービスの接続情報を指定して、サービスに到達可能であることを確認します。「ホストおよびサービス スタート ガイド」には、すべてのNetWitness Platformサービスを理解し、インストールするために必要な情報が記載されています。

サービスが追加された後に、各サービスを構成する必要があります。システム構成の優先順序は次のとおりです。

  1. Decoder
  2. Log Decoder
  3. Concentrator(「BrokerおよびConcentrator構成ガイド」を参照)
  4. Broker(「BrokerおよびConcentrator構成ガイド」)

注:Log Decoderは特殊なタイプのDecoderで、Decoderと同様に構成および管理されます。このガイドのほとんどの情報は、両方のタイプのDecoderについてあてはまります。「Decoder」は、Decoderの両方のタイプを表します。Network DecoderまたはLog Decoderにのみ適用される情報は、明確に識別されます。

「Basic Configuration of the Decoder」では、ネットワーク アダプタのインタフェースを選択し、データ収集を開始します。

また、各Decoderで、ルール、Feed、Parserの構成を使用して、収集するトラフィックのタイプを制御するように設定できます。高度な構成タスクでは、特定のアプリケーションに関連する追加の機能を有効にします。たとえば、10G Decoderの構成、カスタムのメタ キーの作成、着信パケットの復号を実行します。

DecoderとLog Decoderの必要なすべての設定を構成する最も簡単な方法は、NetWitness Platformユーザ インタフェースのオプションを使用することです。ほとんどの場合、構成は[管理]の[サービス]ビューで実行されます([管理]>[サービス])。

An example of the Administration Services View

ユーザ インタフェース以外での作業に慣れている管理者は、Decoderノード ツリーでサービスの[エクスプローラ]ビューを使用してデータベース ノードを編集し、基本のパラメータと高度な設定を構成できます。

The Services Explore view for a Decoder

初期のクイック セットアップの実行

この処理手順では、Decoderの初期の基本構成を実行し、データ収集を開始します。基本のセットアップが完了すると、DecoderはConcentratorで利用するデータの収集を開始します。

Decoderを構成し、データの収集を開始するには、以下の手順を実行します。

  1. データを収集するネットワーク インタフェースを割り当てます。詳細については、「収集設定の構成」の「ネットワーク アダプタの選択」を参照してください。
  2. 次のいずれかを実行します。
    1. 収集を開始するには、Decoderを選択し、The actions menu [表示]>[システム]を選択します。ツールバーで、The Start Capture buttonをクリックします。
      This is an example of the Decoder System view.
    2. [収集の自動開始]を有効にするには、「収集設定の構成」の「Decoderの構成によるデータの自動収集の開始」を参照してください。
      DecoderはConcentratorで利用するデータの収集を開始します。追加の構成オプションについては、「Decoderでの一般的な設定の構成 」と「DecoderおよびLog Decoderの追加の手順」を参照してください。
You are here
Table of Contents > DecoderおよびLog Decoderのクイック セットアップ

Attachments

    Outcomes