ESA構成:ESA Analyticsマッピング

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

[ESA Analyticsマッピング]パネル([管理]>[システム]>[ESA Analytics])では、RSAの自動脅威検出機能が高度な脅威を自動的に検出する方法を定義します。事前構成済みのESA Analyticsモジュールを選択すると、1つ以上のConcentrator上に存在するデータを分析できます。

複数のデータ ソース(Concentratorなど)を利用可能なESA Analyticsサービスに割り当てると、データの処理効率が高まり、追加の容量を利用できるようになるため、ネットワーク リソースを有効に活用し、不要なデータ フローを削減することにつながります。

ワークフロー

このワークフローは、ESA Analyticsマッピングを作成し有効化して高度な脅威の自動検出を開始するプロセスを示します。

ESA Analyticsマッピングを作成する前に、マッピングで使用するESAホストとサービスがオンラインで利用可能であることを確認します。すべてのサービスは、整合性のとれたタイム ソースと同期する必要があります。また、Concentratorが必要なデータを収集していることも確認します。ESA Analyticsマッピングを作成するときは、不審なドメインなど、割り当てるESA Analyticsモジュールを選択します。次に、ESA Analyticsサービスとともにそのモジュールでデータ処理に使用するConcentratorなどのデータ ソースを選択します。データの集計を開始する準備ができたら、マッピングを導入します。アナリストは、Respondビューで、そのモジュールに対して検出された脅威を表示できます。

どうしますか?

                                      
ロール 処理オプション...方法を確認する
管理者

ESAホストとサービスがオンラインで利用可能であることの確認

[管理]>[ホスト]および[管理]>[サービス]
ホストおよびサービス スタート ガイド」を参照

管理者

Concentratorが必要なデータを収集していることの確認

BrokerおよびConcentrator構成ガイド」を参照

管理者ESA Analyticsマッピングの作成*

ESAデータ ソースのAnalyticsモジュールへのマッピング

管理者ESA Analyticsマッピングの導入*ESAデータ ソースのAnalyticsモジュールへのマッピング
管理者、
アナリスト
検出された脅威の表示

NetWitness Respondユーザー ガイド」を参照

*これらのタスクはここ(つまり、[ESA Analyticsマッピング]パネル)で完了できます。

関連トピック

簡単な説明

次の例は、ESA Analyticsマッピングを示しています。構成では、選択したモジュールのデータ ソースと、それらのデータ ソースからイベントを処理するESA Analyticsサービスを定義します。

ESA Analyticsマッピング図

                                     
1[ESA Analyticsマッピング]パネルを表示します。
2ESA Analyticsマッピングのステータスを表示します。
3マッピングされているモジュールの名前。
4マッピングに割り当てられている、Concentratorなどのデータ ソース。
5マッピングのデータを処理するESA Analyticsサービス。
6マッピングのデータ ソースのウォーム アップ期間の構成(時間単位)。
7マッピングのデータ ソースの遅延時間の構成(分単位)。
8モジュール設定の変更、モジュール マッピングの導入、モジュール マッピングの導入解除のためのアクション。

ツールバー

次の表は、ツールバーのアクションについて説明しています。

                        
アイコン/ボタン説明

Add.png

ESA Analyticsマッピングを作成することができる[マッピングの作成]ダイアログを開きます。モジュールごとに個別のマッピングを作成します。
マッピングの作成と確認後に、導入します。

Delete.png

ESA Analyticsマッピングを削除します。

  • 「導入解除」ステータスのマッピングは任意の時点で削除することができます。「導入解除」状態のマッピングは導入も実行もされていないため、データの集計に影響しません。

  • 導入されているマッピングを削除すると、ESAサーバの構成がクリアされ、そのマッピングの導入環境が復元されて、そのモジュールのデータ ソースからのデータ取得が停止されます。削除する前に「導入済み」ステータスのマッピングの導入を解除する必要があります。

今すぐ導入

マッピングを作成した後、モジュールのデータの集計を開始するためにマッピングを導入する必要があります。導入する「導入解除」ステータスのマッピングを1つまたは複数選択します。

注:Concentratorの追加や削除、サービスの変更など、導入済みのマッピングに変更を加える場合は、既存のマッピングの導入を解除して削除し、そのモジュールの新しいマッピングを作成して導入する必要があります。

ESA Analyticsマッピング

次の表では、リストされているESA Analyticsマッピングについて説明します。

                                           
タイトル説明
選択アイコン 個別のマッピングを選択するには、マッピングの横にあるチェック ボックスをオンにします。

ステータス

マッピングのステータスを表示します。2つのステータスがあります。

導入解除:導入解除されているマッピングは、ソースとESA AnalyticsサービスにESA Analyticsモジュールをマッピングしています。マッピングを導入するまでモジュールのデータ集計は開始されません。

導入済み:導入済みのマッピングは導入され、実行中です。導入済みのマッピングでは、選択されたESA Analyticsサービスは、クエリー ベースの集計を使用して、Concentrator から選択したモジュールの適切なフィルター処理されたイベントを収集します。

モジュール

選択されたESA Analyticsモジュールを示します。ESA Analyticsモジュールは、数学的計算を使用して追加情報でイベントを拡充するアクティビティ オブジェクトのパイプラインです。このモジュールはESA Analyticsサービス内に配置されています。

ソース

ソースとは、データ ソース(Concentrator)のことで、ここからESAが指定されたモジュールのデータを集計します。

サービス

指定されたモジュールのデータを処理するESA Analyticsサービスを指します。選択されたサービスは、整合性のとれたタイム ソースと同期する必要があります。

ウォーム アップ期間(時間)

ウォーム アップ期間(時間単位)を指定します。ウォーム アップ期間は、自動脅威検出にトラフィックを「学習」させるために必要です。典型的なトラフィックが実行されているときに、ウォーム アップ期間を実行する必要があります。この期間中、モジュール マッピングのアラートは抑制されます。ウォームアップ期間は、履歴データをモジュールに供給して、指定された時間分のデータ コレクションがアラートの送信前に完了することを保証します。

RSAでは、事前構成済みのESA Analyticsモジュールを提供します。各モジュール タイプには、デフォルトのウォーム アップ期間が定義されていて、必要に応じ、環境に合わせて調整できます。このウォーム アップ期間後にアラートを表示できます。

ウォーム アップ期間と遅延時間の詳細については、「モジュール設定」を参照してください。

遅延時間(分)

負荷の高いアクティビティの期間中にデータ ソースによって処理されているイベントを失わないようにするために追加される、固定の時間遅延を分単位で指定します。たとえば、Concentratorのパフォーマンスは、受け取る負荷、実行するクエリー、インデックス作成などの要因によって異なります。これらの要因により、Concentratorはイベントをリアルタイムで集計できないことがあり、これが遅延につながります。

遅延パラメーターを設定すると、Concentratorが全データの集計を完了することが可能になります。

ウォーム アップ期間が完了すると、データの集計は現在の(システム)時間-遅延時間で継続されます。この設定は、Concentratorによるデータの集計が低速の場合に役立ちます。遅延時間により、モジュールが遅延時間のタイム ウィンドウ内にConcentratorに到着するデータを処理しないことが保証されるため、エンタープライズで生成されたすべてのイベントを確実にモジュールで処理できる適切な遅延が生じます。

たとえば、遅延時間が30分、現在の時間が午後2時00分の場合、Concentratorはレコードの受信を午後1時30分に開始します。遅延時間のタイム ウィンドウ、この例では30分が、時間の先行分として常に残ります。現在の時間が午後2時01分に進むと、Concentratorは次の1分である午後1時31分のデータを取得します。以降も同様です。

重要:遅延時間では、現在の時間とモジュールがデータを取得する時間の間のバッファを定義します。

注意:RSAでは、イベントを集計中に欠落させないように、管理者が個々のConcentratorのパフォーマンスに基づいて動的に遅延時間パラメーターを調整することを推奨します。

ウォーム アップ期間と遅延時間の詳細については、「モジュール設定」を参照してください。

[アクション]アイコン

選択したモジュール マッピングの追加のアクションを選択できます。

  • モジュールの編集:選択したモジュール マッピングのウォーム アップ期間と遅延時間を構成することができます。

  • 導入:選択したモジュール マッピングを導入します。指定したESA Analyticsサービスが、そのモジュールのデータ ソースからデータ受信を開始します。

  • 導入解除:選択したモジュール マッピングの導入を解除します。指定したESA Analyticsサービスが、そのモジュールのデータ ソースからデータ受信を停止します。

注意:ステータスが導入済みのマッピングの導入を解除すると、そのモジュールのデータ集計が影響を受けます。

You are here
Table of Contents > 参考情報 > ESA Analyticsマッピング

Attachments

    Outcomes