Decoder：Identity Feedの作成

Identity Feedを作成して、選択したDecoderとLog Decoderに導入することができます。Identity Feedを作成するには、次の要件があります。

• Identity Feedイベント プロセッサを持つLog Collectorサービス
• Windows収集が構成および有効化されているLog Collectorサービス

Identity Feedを作成するには、次の手順を実行します。

1. Feedの宛先を追加します。
   1. ［管理］＞［サービス］に移動し、［サービス］リストで、Log Collectorサービスを選択してから、［表示］＞［構成］を選択します。
   2. ［イベントの宛先］タブを選択します。

   3. ［イベントの宛先の選択］フィールドで、［Identity Feed］を選択します。

      

   4. をクリックして、Feedに固有な名前を入力します。

      キュー名は、Log Collector内のFeedを識別します。キューに対してFeedの名前を使用します。

      

   5. ［OK］をクリックします。

2. メッセージの生成をテストします。

   1. テストのために、ドメイン コントローラに適切なログ メッセージを生成するドメイン上のWindowsコンピュータにユーザをログインさせます。

   2. Feedファイルにデータが書き込まれることを確認します。構成されている仮想Log Collector、Log Decoder/CollectorにSSHで接続します。/var/netwitness/logcollector/runtime/identity-feedに移動し、Identity_deployファイルにデータが入力されていることを確認します。

      

   3. Webブラウザ（Internet Explorerブラウザ以外を推奨）を開き、Log CollectorのRESTインターフェイスにログインします。ログインするときは、管理者の認証情報を使用します。たとえば、Log CollectorのIPアドレスが192.168.99.66の場合は、URLは次のようになります。

      • SSLが有効ではない場合：http://192.168.99.66:50101/event-processors
      • SSLが有効な場合：https://192.168.99.66:50101/event-processors

      ブラウザ画面は、次のようになります。

      

      画面には、以前に作成したIdentity Feedの名前が含まれていることに注意してください（この例ではinfonetd_domain）。

      Identity Feedが正常に機能するためには、ポート50101をLog Collectorでアクティブにする必要があり、SSL暗号化を有効にするかどうかも決定する必要があります。

   4. ［管理］＞［サービス］＞<設定中のLog Collector>＞［表示］＞［エクスプローラ］に移動します。

   5. 左側のペインで、［rest］＞［config］と展開します。

      

      RESTをアクティブにするには、［enabled］に1を設定する必要があります。

   6. sslの値に注意してください。ご使用の環境でSSLを有効にする必要がある場合は、onに設定する必要があります。

      注： enabledまたはsslオプションのいずれかの設定を変更した場合、Log Collectorサービスを再起動してから先に進む必要があります。

3. ［構成］＞［Liveコンテンツ］＞［カスタムFeed］に移動します。

   Feedグリッドが表示されます。

   
   

4. ツールバーでをクリックします。

   ［Feedの構成］ダイアログが表示されます。

   

5. ［Identity Feed］が選択されていることを確認し、［次へ］をクリックします。

   ［Identity Feedの構成］パネルが開き、［Feedの定義］タブが表示されます。

6. （状況に応じて）オン デマンドまたは繰り返しのFeedを作成できます。

   • 1回だけ実行されるオン デマンドIdentity Feedタスクを定義する場合は、［Feedタスク タイプ］フィールドで［アドホック］を選択し、Feedの名前を入力します。次に、Feedファイルを参照して開きます。

   • 定期的に実行される繰り返しIdentity Feedタスクを定義するには、［Feedタスク タイプ］フィールドで［繰り返し］を選択します。

     ［Feedの定義］フォームに、繰り返しFeed用のフィールドが表示されます。

     

     注：RSA NetWitness Suiteによって、ファイルが格納されている場所が検証されます。これにより、繰り返しの実行が行われる前に最新のファイルを自動的にチェックできるようになります。

7. ［URL］フィールドに入力し、確認します。

   1. ［URL］フィールドに、Feedデータ ファイルのURLを入力し、［検証］をクリックします。これは以前にセットアップしたREST APIインターフェイスです。URLを作成するため次の情報を把握する必要があります。

      • Identity Feedファイルを作成するために使用されているLog CollectorのIPアドレス。
      • Identityキュー名（ステップ2cで設定）。
      • Log CollectorのRESTポートでSSLが有効かどうか（ステップ2fで設定）。

      この値は次のように作成します。

      • SSLが有効：https://<LogCollector>:50101/event-processors/<ID Event processor name>?msg=getFile&force-content-type=application/octet-stream&expiry=600
      • SSLが無効：http://<LogCollector>:50101/event-processors/<ID Event processor name>?msg=getFile&force-content-type=application/octet-stream&expiry=600

      したがって、これまでの例を使用すると、このフィールドに入力する全体の値は、次のようになります。

      http://192.168.99.66:50101/event-processors/infonetd_domain?msg=getFile&force-content-type=application/octet-stream&expiry=600?msg=getFile&force-content-type=application/octet-stream&expiry=600

   2. URL検証が正常に動作するには、Security Analytics UIサーバが、Log CollectorのREST APIポート（50101）にアクセスできることが重要です。これは、SSH経由で、Security Analytics UIサーバに移動してテストできます。そこで次のコマンドを実行します。

      • SSLが有効：curl -vk https://<ip of log collector>:50101
      • SSLが無効：curl -v http://<ip of log collector>:50101

      curlコマンドが接続しない場合、ネットワーク ファイアウォールまたはルーティングの問題が、Security Analytics UIサーバとLog Collectorの間にある可能性があります。

      接続異常の例：

      * About to connect() to 192.168.99.66 port 50105 (#0)

      * Trying 192.168.99.66... No route to host

      * couldn't connect to host

      * Closing connection #0

      curl: (7) couldn't connect to host

      Example of Good connection:

      * About to connect() to 192.168.99.66 port 50105 (#0)

      * Trying 192.168.99.66... connected

      * Connected to 192.168.99.66 (192.168.99.66) port 50105 (#0)

      > GET / HTTP/1.1

      > User-Agent: curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.19.1 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2

      > Host: 192.168.99.66:50105

      > Accept: */*

      >

      < HTTP/1.1 401 Unauthorized

      < Content-Length: 71

      < Connection: Keep-Alive

      < Pragma: no-cache

      < Expires: -1

      < Cache-Control: no-cache, no-store, must-revalidate

      < WWW-Authenticate: Basic realm="NetWitness"

      < Content-Type: text/xml; charset=utf-8

      <

      <?xml version="1.0" encoding="utf-8"?>

      <error>401 Unauthorized</error>

      * Connection #0 to host 192.168.99.66 left intact

      * Closing connection #0

8. Log Collectorからidentity_deploy.csvファイルを取得する際、REST APIではユーザ名とパスワードが必要です。サービス自体で利用可能な任意のユーザ名とパスワードです。詳細については、「ホストおよびサービス スタート ガイド」の「サービスのセキュリティ ビュー」のトピックを参照してください。

   使用できるアカウントを確認するには、［管理］＞［サービス］＞<設定中のLog Collector>＞［アクション］＞［表示］＞［セキュリティ］に移動します。

   ［ユーザ］テーブルには、このステップで使用できるすべてのユーザが表示されます。このセットアップ専用に個別のユーザ アカウントを作成し、この環境以外では使用しないことを、セキュリティ強化のためにお勧めします。詳細については、「システム セキュリティとユーザ管理ガイド」の「ユーザの追加とロールの割り当て」を参照してください。（NetWitness Suite 11.0の各ドキュメントを見つけるには、バージョン11.0の「マスター目次」に移動します。）

9. 繰り返しの間隔を定義するには、次のどちらかの操作を行います。

   • Feedの繰り返し間隔を分数、時間数、日数で指定します。
   • Feedの繰り返し実行の日付範囲を定義するには、開始日と時刻、終了日と時刻を指定します。

10. SSL暗号化を使用する場合は、Security Analytics UIサーバにLog CollectorのREST APIのSSL証明書をインストールする必要があります。詳細については「SSL証明書のインポート」を参照してください。

    SSL証明書をインポートした後でも、URLの検証がまだ失敗する場合は、「Identity FeedのURLを検証できない」を参照してください。

11. ［サービスの選択］フォームに進む前に、［検証］をクリックしてIdentity Feed構成を検証します。

12. ［次へ］をクリックします。

    ［サービスの選択］フォームが表示されます。

    

13. Feedの導入先のサービスを指定するには、1つ以上のDecoderとLog Decoderを選択し、［次へ］をクリックします。

14. ［グループ］タブをクリックし、グループを選択して、［次へ］をクリックします。

    ［レビュー］フォームが表示されます。

    

    注：DecoderおよびLog Decoderが搭載されたデバイスのグループを使用して繰り返しFeedまたはカスタムFeedを作成し、このグループを削除した場合は、Feedを編集して、新しいグループをフィードに追加できます。

15. ［完了］をクリックする前であれば、次の操作をいつでも実行できます。

    • Feed定義を保存せずにウィザードを終了するには、［キャンセル］をクリックします。
    • ウィザードのデータをクリアするには、［リセット］をクリックします。
    • 次のフォームを表示するには、［次へ］をクリックします（最後のフォームを表示していない場合）。
    • 前のフォームを表示するには、［前へ］をクリックします（最初のフォームを表示していない場合）。
16. Feed情報を確認し、正しければ［完了］をクリックします。

Feed定義ファイルが正常に作成されると、［Feedの作成］ウィザードが終了し、Feedと対応するトークン ファイルがFeedグリッドに表示され、進行状況を示す進捗バーが表示されます。各Feedは展開したり折りたたんで表示することが可能で、展開すると、Feedに含まれるサービスや正常に処理されたサービスを確認することができます。

SSL証明書のインポート

Identity FeedのLog CollectorでSSLを構成する場合、Security Analytics UIサーバのキー ストアに、Log CollectorのSSL証明書をインポートします。この証明書をインポートしない場合は、Security Analytics UIサーバは、Log CollectorからIdentity Feedファイルを取得することができません。

1. Log CollectorからSSL証明書を取得するには、Security Analytics UIサーバにSSHで接続し、次のコマンドを実行します。

   echo -n | openssl s_client -connect <HOST>:<PORT> | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /tmp/<SERVERNAME>.cert

   このコマンドは、SSL証明書を/tmp/<SERVERNAME>.certに保存します。

   次に例を示します。

   echo -n | openssl s_client -connect 192.168.99.66:50101 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > /tmp/logcollector.cert

2. SSL証明書をSecurity Analytics UIサーバにインポートするには、UIサーバにSSHで接続し、次のコマンドを実行します。

   keytool -importcert -alias <name an alias for the cert> -file <the cert file pathname> -keystore /etc/pki/java/cacerts

   次に例を示します。

   keytool -importcert -alias logcollector01 -file /tmp/logcollector.cert -keystore /etc/pki/java/cacerts

3. システムは、パスワードを要求します。Security Analytics UIサーバ上のキーストア用（jettyキーストア用ではない）パスワードを入力します。デフォルトのパスワードはchangeitです。
4. jettysrvを再起動し、jettyがストアにある新しい証明書を読み取れるようにします。

Identity FeedのURLを検証できない

SSLを使用していて、Identity FeedのURLを検証できない場合、「SSL証明書のインポート」の手順に従っているかどうかを確認します。

問題が引き続きおこる場合は、証明書の内部名とLog Collectorのホスト名が一致していない可能性があります。次の手順で、これを確認します。

1. Security Analytics UIサーバにSSHでログインします。

2. SSL証明書のCN名を出力するために次のコマンドを実行します。

   echo -n | openssl s_client -connect <log decoder>:50101 | sed -ne '/BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

   例：

   echo -n | openssl s_client -connect salogdecoder01:50101 | sed -ne '/BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

3. SSL証明書のCN名を取得します。

   

4. /etc/hostsファイルを編集し、このファイルに、IPアドレスとCN名を追加します。

   

5. アプライアンスでネットワーク サービスを再起動します。
6. Identity FeedのURLで完全修飾ドメイン名やIPアドレスではなく、/etc/hostsファイルに格納された名前が使用されていることを確認します。
7. Identity FeedのURLを再確認します。