このセクションでは、ESA AnalyticsサービスでRSA NetWitness® Suite自動脅威検出を構成するタスクの概要について説明します。自動脅威検出機能では、事前構成済みのSuspicious DomainsのようなESA Analyticsモジュールを使用して、1つ以上のConcentrator上に存在するデータを分析できます。たとえば、 Suspicious Domainsモジュールを使用すると、ESA Analyticsサービスは、HTTPトラフィックを調べ、ご使用の環境に悪意のあるアクティビティが発生している可能性を判別できます。
ESAホストで実行できるESAサービスは2つあります。
- Event Stream Analysis(ESA相関ルール)
- Event Stream Analytics Server(ESA Analytics)
最初のサービスは、ESAルールからアラートを作成するEvent Stream Analysisサービスです。これはESA相関ルールとも呼ばれ、手動で作成するか、Liveからダウンロードします。2番目のサービスはESA Analyticsサービスで、自動脅威検出に使用されます。本セクションで構成方法を説明します。ESA Analyticsサービスでは、自動脅威検出に事前構成済みのESA Analyticsモジュールが使用されるため、このサービスを使用するためにルールを作成またはダウンロードする必要はありません。
使用可能なESAモジュールは現在2つあり、どちらもSuspicious Domainsで使用します。
- C2 for Packets(http-packet)
- C2 for Logs(http-log)
Previous Topic:ステップ2. ESAサービスの詳細設定の構成
Next Topic:Whoisルックアップ サービスの構成
You are here
Table of Contents > ESA Analyticsの構成