RSA NetWitness® SuiteESA(Event Stream Analysis)は、相関イベントや複雑なイベント処理などの高度なストリーム解析を高スループットかつ低レイテンシで提供します。ESAでは、Concentratorからの大量の雑多なイベント データを処理することができます。
ESAの先進的なイベント処理言語によって、いくつもの異なるイベント ストリームを対象に、フィルタリング、集計、結合、パターン認識、相関を表現することができます。Event Stream Analysisによって、強力なインシデント検出やアラート通知を実装することができます。
次の図はデータ ワークフローの概略を示しています。
ESAホストで実行できるESAサービスは2つあります。
- Event Stream Analysis(ESA相関ルール)
- Event Stream Analytics Server(ESA Analytics)
最初のサービスは、ESAルールからアラートを作成するEvent Stream Analysisサービスです。これはESA相関ルールとも呼ばれ、手動で作成するか、Liveからダウンロードします。2番目のサービスはESA Analyticsサービスで、自動脅威検出に使用されます。ESA Analyticsサービスでは、自動脅威検出に事前構成済みのESA Analyticsモジュールが使用されるため、自動脅威検出を使用するためにルールを作成またはダウンロードする必要はありません。
ESA Analyticsサービスは、QBA(クエリ ベースの集計)を使用して、ESA Analyticsモジュールのフィルタ処理されたイベントを、Concentratorから収集します。モジュールが必要なデータのみが、ConcentratorとESA Analyticsシステム間で転送されます。たとえば、C2 for Packets(http-packet)のようなSuspicious Domains ESA Analyticsモジュールを使用すると、ESA Analyticsサービスは、HTTPトラフィックを調べ、ご使用の環境に悪意のあるアクティビティが発生している可能性を判別できます。