ESA構成：ESAデータ ソースのAnalyticsモジュールへのマッピング

 

このトピックでは、管理者が特定のESA Analyticsモジュールをデータ ソースやESA Analyticsサービスにマッピングする方法を説明します。これによりプロセスがより効果的になります。

事前構成済みのESA Analyticsモジュールを選択すると、RSANetWitness Suite自動脅威検知機能を使用して、1つ以上のConcentrator上に存在するデータを分析できます。これらのモジュールによって分析されたデータは、高度な脅威の特定に使用されます。複数のデータ ソース（Concentratorなど）を複数のESA Analyticsサービスに割り当てると、データの処理効率が高まり、追加の容量を利用できるようになるため、ネットワーク リソースを有効に活用し、不要なデータ フローを削減することにつながります。

ESA Analyticsモジュールは、数学的計算を使用して追加情報でイベントを拡充するアクティビティ オブジェクトのパイプラインです。ESA AnalyticsモジュールはESA Analyticsサービス内に配置されています。

マッピングを導入すると、選択されたESA Analyticsサービスは、クエリ ベースの集計を使用して、選択したモジュールのフィルタ処理された適切なイベントを、Concentratorから収集します。クエリ ベースの集計とは、選択したESA Analyticsモジュールのデータのみを転送する定義済みのクエリのことです。モジュールが必要なデータのみが、ConcentratorとESA Analyticsシステム間で転送されます。

Suspicious Domainsで使用可能なESAモジュールは現在2つあります。C2 for Packets（http-packet）とC2 for Logs（http-log）です。

モジュールのデプロイ例：ESAが2つの場合

Concentratorを追加した利点を生かすために、ESA AnalyticsモジュールをESA Analyticsサービスにマッピングして導入し、複数のデータ ソースからのデータを同時に分析できるようにします。

たとえば、Concentratorが3つ、ESA Analyticsサービスが2つある場合、次のマッピングを作成し導入することができます。

• モジュール1は、Concentrator 1と2のソース、およびESA Analyticsサービス1にマッピングします。ESA Analyticsサービス1は、モジュール1がフィルタリングするConcentrator 1と2からのイベントを分析します。
• モジュール2は、Concentrator 2と3のソース、およびESA Analyticsサービス2にマッピングします。ESA Analyticsサービス2は、モジュール2がフィルタリングするConcentrator 2と3からのイベントを分析します。

この例では、モジュール1はC2 for Packets（http-packet）のようなESA Analyticsモジュールを表し、モジュール2は別のロケーションにあるC2 for Logs（http-logs）のような別のESA Analyticsモジュールを表します。

この例では、両方のサービスが同じConcentratorからのデータを処理します。ESA Analyticsサービス1と2の両方がConcentrator 2からのデータを処理することに注意してください。ESA Analyticsサービス1はモジュール1のイベント データのクエリを、ESA Analyticsサービス2はモジュール2の異なるイベントデータのクエリを投げます。

モジュールのデプロイ例：ESAが1つの場合

異なるESA Analyticsサービスで処理するようにモジュール マッピングを作成する以外にも、1つ以上のモジュールを同じESA Analyticsサービスにマッピングすることもできます。

たとえば、Concentratorが3つ、ESA Analyticsサービスが1つの場合、次のマッピングを作成し導入することができます。

• モジュール1は、Concentrator 1と2のソース、およびESA Analyticsサービス1にマッピングします。ESA Analyticsサービス1は、モジュール1がフィルタリングするConcentrator 1と2からのイベントを分析します。
• モジュール2は、Concentrator 2と3のソース、およびESA Analyticsサービス1にマッピングします。ESA Analyticsサービス1は、モジュール2がフィルタリングするConcentrator 2と3からのイベントも分析します。

この例では、複数のモジュールからのデータを1つのサービスで処理する方法を示します。ESA Analyticsサービス1がConcentrator 1と2からのModule 1のデータを処理することに注意してください。Concentrator 2と3からのModule 2のデータも処理します。ESA Analyticsサービス1はモジュール1のイベント データのクエリと、モジュール2の異なるイベントデータのクエリを投げます。

注意：NetWitness Suiteホスト サービスが、整合性のとれたタイム ソースと同期していることを確認してください。

前提条件

• NetWitness Suiteホスト サービスは、整合性のとれたタイム ソースと同期している必要があります。
• Concentratorホストとサービスは、NetWitness Suiteユーザ インターフェイスで検出および使用可能である必要があります。
• すべてのモジュール固有の要件に従う必要があります。
  • Suspicious Domains（不審なドメイン）の場合：
    • ログ設定の構成（Suspicious Domains for Logsの場合のみ）
    • Context Hubサービスを使用してホワイトリストを作成します。
    • Whoisルックアップ サービスの構成。
    • C2のインシデント ルールが有効になっていることを確認し、アクティビティを監視します。
    • インシデントがSuspected C&Cでグループ化されていることを確認します。

  詳細な手順については、「NetWitness Suite自動脅威検出ガイド」を参照してください。

ESA Analyticsマッピングの作成

ソースとサービスにESA Analyticsモジュールをマッピングする方法を、次の手順で説明します。マッピングを作成し確認した後で、データの集計を開始できるようデプロイします。

1. ［管理］＞［システム］に移動して、オプション パネルで［ESA Analytics］を選択します。
   ［ESA Analyticsマッピング］パネルが表示されます。
   
2. をクリックしてESA Analyticsマッピングを作成します。モジュールごとに個別のマッピングを作成します。
   ［マッピングの作成］ダイアログが表示されます。
   
3. ［モジュール］リストでモジュールを選択します。
4. マッピング用に1つ以上のデータ ソース（Concentrator）を構成します。構成では、次の内容を実行します。
   1. をクリックします。
      ［使用可能なソース］ダイアログ ボックスに、［管理］＞［サービス］ビューの使用可能なデータ ソースが表示されます。
      
   2. ［使用可能なソース］ダイアログで［Concentrator］を選択し、［OK］をクリックします。
      ［ソースの追加］ダイアログが表示されます。
      
   3. ［ソースの追加］ダイアログで、Concentrator管理者のユーザ名とパスワードを入力します。
   4. ［接続のテスト］をクリックして、ESA Analyticsサービスと通信できることを確認します。
      
   5. ［OK］をクリックします。
      データ ソースを構成して［ソース］リストに表示されるようになると、マッピングを追加する際に再利用できます。
5. ［ソース］リストで、モジュールのデータを集計するデータ ソースを1つ以上選択します。
   
   緑色で塗り潰された丸は実行中のサービスを、白色の丸は停止中のサービスを示します。
6. ［サービス］リストで、モジュールのデータを処理するESA Analyticsサービスを選択します。
7. 必要に応じて、選択したConcentratorのデータをクエリするために使用される時刻を指定します。

   フィールド	説明
   ウォームアップ期間（時間）	ウォーム アップ期間（時間単位）を指定します。ウォーム アップ期間は、自動脅威検出にトラフィックを「学習」させるために必要です。典型的なトラフィックが実行されているときに、ウォーム アップ期間を実行する必要があります。この期間中、モジュール マッピングのアラートは抑制されます。ウォームアップ期間は、履歴データをモジュールに供給して、指定された時間分のデータ コレクションがアラートの送信前に完了することを保証します。 RSAでは、事前構成済みのESA Analyticsモジュールを提供します。各モジュール タイプには、デフォルトのウォーム アップ期間が定義されていて、必要に応じ、環境に合わせて調整できます。このウォーム アップ期間後にアラートを表示できます。 ウォーム アップ期間と遅延時間の詳細については、「モジュール設定」を参照してください。
   遅延時間（分）	負荷の高いアクティビティの期間中にデータ ソースによって処理されているイベントを失わないようにするために追加される、固定長の遅延時間を分単位で指定します。たとえば、Concentratorのパフォーマンスは、受け取る負荷、実行するクエリ、インデックス作成などの要因によって異なります。これらの要因により、Concentratorはイベントをリアルタイムで集計できないことがあり、これが遅延につながります。 遅延パラメータを設定すると、Concentratorが全データの集計を完了することが可能になります。 ウォーム アップ期間が完了すると、データの集計は現在の（システム）時間 - 遅延時間で継続されます。この設定は、Concentratorによるデータの集計が低速の場合に役立ちます。遅延時間により、モジュールが遅延時間のタイム ウィンドウ内にConcentratorに到着するデータを処理しないことが保証されるため、エンタープライズで生成されたすべてのイベントを確実にモジュールで処理できる適切な遅延が生じます。 たとえば、遅延時間が30分、現在の時間が午後2時00分の場合、Concentratorはレコードの受信を午後1時30分に開始します。遅延時間のタイム ウィンドウ、この例では30分が、時間の先行分として常に残ります。現在の時間が午後2時01分に進むと、Concentratorは次の1分である午後1時31分のデータを取得します。以降も同様です。 重要：遅延時間では、現在の時間とモジュールがデータを取得する時間の間のバッファを定義します。 注意：RSAでは、イベントを集計中に欠落させないように、管理者が個々のConcentratorのパフォーマンスに基づいて動的に遅延時間パラメータを調整することを推奨しています。 ウォーム アップ期間と遅延時間の詳細については、「モジュール設定」を参照してください。

8. ［作成］をクリックします。
   作成したマッピングが既存のマッピングの一覧の中に、［導入解除］のステータスで表示されます。
   
   重要：モジュールを開始してデータの集計を開始するには、デプロイする必要があります。

ESA Analyticsマッピングの導入

マッピングを作成した後、モジュールのデータの集計を開始するためにマッピングを導入する必要があります。

1. マッピングの一覧で、デプロイしたいマッピングのステータスが［導入解除］であることを確認します。
   
2. ［導入解除］ステータスのマッピングを1つ以上選択して、［Deploye Now］を選択します。
   ［導入解除］ステータスの選択したすべてのマッピングが、マッピングに構成されているデータの集計を開始します。マッピングのステータスが［導入済み］に変化します。
   すでに導入済みのマッピングを導入することはできません。

マッピングの更新

1つのモジュールに可能なマッピングは1つだけです。Concentratorの追加や削除、サービスの変更など、導入済みのマッピングに変更を加える場合は、既存のマッピングの導入を解除して削除し、そのモジュールの新しいマッピングを作成して導入する必要があります。

次の更新は、導入済みのマッピングを削除することなく更新できます。

• マッピングの導入の解除
• ウォーム アップ期間と遅延時間の変更

導入されていないモジュール マッピングのウォーム アップ期間と遅延時間を変更できます。

マッピングの導入の解除

モジュール マッピングのデータ集計を停止したいがマッピングを削除したくない場合、導入を解除できます。後で導入するオプションが与えられます。マッピングの導入を解除すると、指定したESA Analyticsサービスが、そのモジュールのデータ ソースからのデータ受信を停止します。

注意：ステータスが［導入済み］のマッピングの導入を解除すると、そのモジュールのデータ集計が影響を受けます。

マッピングの導入を解除するには、次の手順を実行します。

1. ［ESA Analyticsマッピング］パネルで、導入を解除したいマッピングを選択します。
2. ［アクション］列で、＞［導入の解除］を選択します。
   ステータスが［導入済み」から［導入解除」に変化してデータの集計が停止します。

マッピングの削除

［導入解除］ステータスのマッピングは任意の時点で削除することができます。［導入解除］状態のマッピングは実行されていないため、データの集計に影響しません。

削除する前に［導入済み］ステータスのマッピングの導入を解除する必要があります。マッピングの導入解除や削除をすると、ESAサーバの構成がクリアされ、そのマッピングの導入環境が復元されて、そのモジュールのデータ ソースからのデータ取得が停止されます。

注意：マッピングの導入解除や削除をすると、そのモジュールのデータ集計が影響を受けます。

マッピングを削除するには、次の手順を実行します。

1. ［ESA Analyticsマッピング］パネルで、削除したいマッピングを選択します。一度に削除できるマッピングは1つだけです。
2. をクリックします。

ウォーム アップ期間と遅延時間の変更

特定のモジュール マッピングのウォーム アップ期間を調整したい場合があります。たとえば、ウォーム アップ時間が完了した後で、ウォーム アップ期間の設定を長くしてウォーム アップ期間を追加することができます。モジュール マッピングがウォーム アップ期間中でもウォーム アップ期間を長くできます。

必要に応じて、モジュールの遅延時間を変更できます。遅延時間では、現在の（システム）時間とモジュールがデータを取得する時間との間のバッファを定義します。

1. ［ESA Analyticsマッピング］パネルで変更するマッピングを選択し、［アクション］列で［］＞［モジュールの編集］を選択します。
   ［モジュール設定］ダイアログに選択したモジュール、ESA Analyticsサービス、データ ソースのマッピングが表示されます。ESAとの通信に使用されるURLがデータ ソースに表示されます。
   
2. ［ウォーム アップの状態］セクションを再確認して、現在のウォーム アップ状態を判別します。
   • Warm Up Started At：最初のイベントが、データ ソースからESA Analyticsモジュールによって処理された時刻。
   • First Event Time：最初のイベントが発生した時刻。ウォーム アップ期間は、この時刻に基づきます。
   • Latest Event Time：直近のイベントが発生した時刻。
   • Remaining Warm Up Time：ウォーム アップ期間の残りの時間数。
   • 完了？ ウォーム アップ期間が完了しているかどうかを示します。［true］の場合は、ウォーム アップ期間は完了しています。［false］の場合は、モジュールはまだウォーミング アップ中で、［残りのウォーム アップ時間］フィールドに、残りの時間数を表示することができます。
     
3. ［構成］セクションでは、ウォーム アップ時間が完了しているかどうかに依存する［ウォーム アップ時間（時間）］を更新できます。
   • ウォーム アップ期間中：ウォーム アップ期間に時間を追加できます。また、残りのウォーム アップ時間を減らすことができます。
   • ウォーム アップ期間完了後：現在の時間と最初のイベント時刻の差を追加する時間に追加することで、ウォーム アップ期間に時間を追加することができます。
     たとえば、10時間のウォーム アップ期間が完了して、最初のイベント時刻が12時00分00秒を示しています。現在の時間は16時00分00秒（4時間後）で、ウォーム アップ時間にさらに5時間を追加するとします。これには、10時間のウォーム アップ期間に9時間分（4+5=9）を追加する必要があるため、新しいウォーム アップ期間を19時間に設定します。
     マッピングを削除して新しいマッピングを作成しない限り、ウォーム アップ期間が完了している場合に、ウォーム アップ期間を減らすことはできません。
     
4. 必要に応じて［遅延時間（分）］を調整し、マッピングのConcentratorがすべてのデータ集計を完了させるための付加的な時間を用意することができます。
5. ［保存］をクリックします。
   変更はすぐに反映されません。設定を反映させるには、マッピングの導入を解除してから再導入する必要があります。
6. マッピングの導入を解除するには、［ESA Analyticsマッピング］パネルで導入解除するマッピングを選択し、＞［導入解除］を選択します。
   選択したマッピングのデータの集計を停止します。
7. マッピングを再導入するには、導入するマッピングを選択し、＞［導入］を選択します。
   選択したマッピングが展開され、マッピングに構成されているデータの集計を開始します。