このトピックでは、管理者が特定のESA Analyticsモジュールをデータ ソースやESA Analyticsサービスにマッピングする方法を説明します。これによりプロセスがより効果的になります。
事前構成済みのESA Analyticsモジュールを選択すると、RSANetWitness Suite自動脅威検知機能を使用して、1つ以上のConcentrator上に存在するデータを分析できます。これらのモジュールによって分析されたデータは、高度な脅威の特定に使用されます。複数のデータ ソース(Concentratorなど)を複数のESA Analyticsサービスに割り当てると、データの処理効率が高まり、追加の容量を利用できるようになるため、ネットワーク リソースを有効に活用し、不要なデータ フローを削減することにつながります。
ESA Analyticsモジュールは、数学的計算を使用して追加情報でイベントを拡充するアクティビティ オブジェクトのパイプラインです。ESA AnalyticsモジュールはESA Analyticsサービス内に配置されています。
マッピングを導入すると、選択されたESA Analyticsサービスは、クエリ ベースの集計を使用して、選択したモジュールのフィルタ処理された適切なイベントを、Concentratorから収集します。クエリ ベースの集計とは、選択したESA Analyticsモジュールのデータのみを転送する定義済みのクエリのことです。モジュールが必要なデータのみが、ConcentratorとESA Analyticsシステム間で転送されます。
Suspicious Domainsで使用可能なESAモジュールは現在2つあります。C2 for Packets(http-packet)とC2 for Logs(http-log)です。
モジュールのデプロイ例:ESAが2つの場合
Concentratorを追加した利点を生かすために、ESA AnalyticsモジュールをESA Analyticsサービスにマッピングして導入し、複数のデータ ソースからのデータを同時に分析できるようにします。
たとえば、Concentratorが3つ、ESA Analyticsサービスが2つある場合、次のマッピングを作成し導入することができます。
- モジュール1は、Concentrator 1と2のソース、およびESA Analyticsサービス1にマッピングします。ESA Analyticsサービス1は、モジュール1がフィルタリングするConcentrator 1と2からのイベントを分析します。
- モジュール2は、Concentrator 2と3のソース、およびESA Analyticsサービス2にマッピングします。ESA Analyticsサービス2は、モジュール2がフィルタリングするConcentrator 2と3からのイベントを分析します。
この例では、モジュール1はC2 for Packets(http-packet)のようなESA Analyticsモジュールを表し、モジュール2は別のロケーションにあるC2 for Logs(http-logs)のような別のESA Analyticsモジュールを表します。
この例では、両方のサービスが同じConcentratorからのデータを処理します。ESA Analyticsサービス1と2の両方がConcentrator 2からのデータを処理することに注意してください。ESA Analyticsサービス1はモジュール1のイベント データのクエリを、ESA Analyticsサービス2はモジュール2の異なるイベントデータのクエリを投げます。
モジュールのデプロイ例:ESAが1つの場合
異なるESA Analyticsサービスで処理するようにモジュール マッピングを作成する以外にも、1つ以上のモジュールを同じESA Analyticsサービスにマッピングすることもできます。
たとえば、Concentratorが3つ、ESA Analyticsサービスが1つの場合、次のマッピングを作成し導入することができます。
- モジュール1は、Concentrator 1と2のソース、およびESA Analyticsサービス1にマッピングします。ESA Analyticsサービス1は、モジュール1がフィルタリングするConcentrator 1と2からのイベントを分析します。
- モジュール2は、Concentrator 2と3のソース、およびESA Analyticsサービス1にマッピングします。ESA Analyticsサービス1は、モジュール2がフィルタリングするConcentrator 2と3からのイベントも分析します。
この例では、複数のモジュールからのデータを1つのサービスで処理する方法を示します。ESA Analyticsサービス1がConcentrator 1と2からのModule 1のデータを処理することに注意してください。Concentrator 2と3からのModule 2のデータも処理します。ESA Analyticsサービス1はモジュール1のイベント データのクエリと、モジュール2の異なるイベントデータのクエリを投げます。
注意:NetWitness Suiteホスト サービスが、整合性のとれたタイム ソースと同期していることを確認してください。
前提条件
- NetWitness Suiteホスト サービスは、整合性のとれたタイム ソースと同期している必要があります。
- Concentratorホストとサービスは、NetWitness Suiteユーザ インターフェイスで検出および使用可能である必要があります。
- すべてのモジュール固有の要件に従う必要があります。
- Suspicious Domains(不審なドメイン)の場合:
- ログ設定の構成(Suspicious Domains for Logsの場合のみ)
- Context Hubサービスを使用してホワイトリストを作成します。
- Whoisルックアップ サービスの構成。
- C2のインシデント ルールが有効になっていることを確認し、アクティビティを監視します。
- インシデントがSuspected C&Cでグループ化されていることを確認します。
詳細な手順については、「NetWitness Suite自動脅威検出ガイド」を参照してください。
- Suspicious Domains(不審なドメイン)の場合:
ESA Analyticsマッピングの作成
ソースとサービスにESA Analyticsモジュールをマッピングする方法を、次の手順で説明します。マッピングを作成し確認した後で、データの集計を開始できるようデプロイします。
- [管理]>[システム]に移動して、オプション パネルで[ESA Analytics]を選択します。
[ESA Analyticsマッピング]パネルが表示されます。 -
をクリックしてESA Analyticsマッピングを作成します。モジュールごとに個別のマッピングを作成します。
[マッピングの作成]ダイアログが表示されます。 - [モジュール]リストでモジュールを選択します。
- マッピング用に1つ以上のデータ ソース(Concentrator)を構成します。構成では、次の内容を実行します。
- [ソース]リストで、モジュールのデータを集計するデータ ソースを1つ以上選択します。
緑色で塗り潰された丸は実行中のサービスを、白色の丸は停止中のサービスを示します。 - [サービス]リストで、モジュールのデータを処理するESA Analyticsサービスを選択します。
- 必要に応じて、選択したConcentratorのデータをクエリするために使用される時刻を指定します。
- [作成]をクリックします。
作成したマッピングが既存のマッピングの一覧の中に、[導入解除]のステータスで表示されます。
重要:モジュールを開始してデータの集計を開始するには、デプロイする必要があります。
ESA Analyticsマッピングの導入
マッピングを作成した後、モジュールのデータの集計を開始するためにマッピングを導入する必要があります。
- マッピングの一覧で、デプロイしたいマッピングのステータスが[導入解除]であることを確認します。
- [導入解除]ステータスのマッピングを1つ以上選択して、[Deploye Now]を選択します。
[導入解除]ステータスの選択したすべてのマッピングが、マッピングに構成されているデータの集計を開始します。マッピングのステータスが[導入済み]に変化します。
すでに導入済みのマッピングを導入することはできません。
マッピングの更新
1つのモジュールに可能なマッピングは1つだけです。Concentratorの追加や削除、サービスの変更など、導入済みのマッピングに変更を加える場合は、既存のマッピングの導入を解除して削除し、そのモジュールの新しいマッピングを作成して導入する必要があります。
次の更新は、導入済みのマッピングを削除することなく更新できます。
- マッピングの導入の解除
- ウォーム アップ期間と遅延時間の変更
導入されていないモジュール マッピングのウォーム アップ期間と遅延時間を変更できます。
マッピングの導入の解除
モジュール マッピングのデータ集計を停止したいがマッピングを削除したくない場合、導入を解除できます。後で導入するオプションが与えられます。マッピングの導入を解除すると、指定したESA Analyticsサービスが、そのモジュールのデータ ソースからのデータ受信を停止します。
注意:ステータスが[導入済み]のマッピングの導入を解除すると、そのモジュールのデータ集計が影響を受けます。
マッピングの導入を解除するには、次の手順を実行します。
- [ESA Analyticsマッピング]パネルで、導入を解除したいマッピングを選択します。
- [アクション]列で、
>[導入の解除]を選択します。
ステータスが[導入済み」から[導入解除」に変化してデータの集計が停止します。
マッピングの削除
[導入解除]ステータスのマッピングは任意の時点で削除することができます。[導入解除]状態のマッピングは実行されていないため、データの集計に影響しません。
削除する前に[導入済み]ステータスのマッピングの導入を解除する必要があります。マッピングの導入解除や削除をすると、ESAサーバの構成がクリアされ、そのマッピングの導入環境が復元されて、そのモジュールのデータ ソースからのデータ取得が停止されます。
注意:マッピングの導入解除や削除をすると、そのモジュールのデータ集計が影響を受けます。
マッピングを削除するには、次の手順を実行します。
ウォーム アップ期間と遅延時間の変更
特定のモジュール マッピングのウォーム アップ期間を調整したい場合があります。たとえば、ウォーム アップ時間が完了した後で、ウォーム アップ期間の設定を長くしてウォーム アップ期間を追加することができます。モジュール マッピングがウォーム アップ期間中でもウォーム アップ期間を長くできます。
必要に応じて、モジュールの遅延時間を変更できます。遅延時間では、現在の(システム)時間とモジュールがデータを取得する時間との間のバッファを定義します。
- [ESA Analyticsマッピング]パネルで変更するマッピングを選択し、[アクション]列で[
]>[モジュールの編集]を選択します。
[モジュール設定]ダイアログに選択したモジュール、ESA Analyticsサービス、データ ソースのマッピングが表示されます。ESAとの通信に使用されるURLがデータ ソースに表示されます。 - [ウォーム アップの状態]セクションを再確認して、現在のウォーム アップ状態を判別します。
- Warm Up Started At:最初のイベントが、データ ソースからESA Analyticsモジュールによって処理された時刻。
- First Event Time:最初のイベントが発生した時刻。ウォーム アップ期間は、この時刻に基づきます。
- Latest Event Time:直近のイベントが発生した時刻。
- Remaining Warm Up Time:ウォーム アップ期間の残りの時間数。
- 完了? ウォーム アップ期間が完了しているかどうかを示します。[true]の場合は、ウォーム アップ期間は完了しています。[false]の場合は、モジュールはまだウォーミング アップ中で、[残りのウォーム アップ時間]フィールドに、残りの時間数を表示することができます。
- [構成]セクションでは、ウォーム アップ時間が完了しているかどうかに依存する[ウォーム アップ時間(時間)]を更新できます。
- ウォーム アップ期間中:ウォーム アップ期間に時間を追加できます。また、残りのウォーム アップ時間を減らすことができます。
- ウォーム アップ期間完了後:現在の時間と最初のイベント時刻の差を追加する時間に追加することで、ウォーム アップ期間に時間を追加することができます。
たとえば、10時間のウォーム アップ期間が完了して、最初のイベント時刻が12時00分00秒を示しています。現在の時間は16時00分00秒(4時間後)で、ウォーム アップ時間にさらに5時間を追加するとします。これには、10時間のウォーム アップ期間に9時間分(4+5=9)を追加する必要があるため、新しいウォーム アップ期間を19時間に設定します。
マッピングを削除して新しいマッピングを作成しない限り、ウォーム アップ期間が完了している場合に、ウォーム アップ期間を減らすことはできません。
- 必要に応じて[遅延時間(分)]を調整し、マッピングのConcentratorがすべてのデータ集計を完了させるための付加的な時間を用意することができます。
- [保存]をクリックします。
変更はすぐに反映されません。設定を反映させるには、マッピングの導入を解除してから再導入する必要があります。 - マッピングの導入を解除するには、[ESA Analyticsマッピング]パネルで導入解除するマッピングを選択し、
>[導入解除]を選択します。
選択したマッピングのデータの集計を停止します。 - マッピングを再導入するには、導入するマッピングを選択し、
>[導入]を選択します。
選択したマッピングが展開され、マッピングに構成されているデータの集計を開始します。