ホストGS:基本的な操作

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

このガイドでは、NetWitness Suiteでホストやサービスの追加、構成を実施するための標準的な処理手順に関する情報を提供します。ホストやサービスの基本的な目的とNetWitness Suiteネットワーク内での機能の概要を示した後、以下の項目についても説明します。

  • ネットワーク内でホストやサービスを設定するために完了する必要があるタスク
  • 組織の長期的かつ日常的な運用のニーズに基づいて実行する追加の処理手順。
  • ユーザ インタフェースに関するリファレンス トピック

ホストとは

ホストは、サービスが実行されるマシンであり、物理マシンであることも、仮想マシンであることもあります。

サービスは、ログの収集やデータのアーカイブなど、固有の機能を実行します。各サービスは、専用ポートで実行され、ホストの機能に従って有効化または無効化するプラグ インとして提供されます。

最初に次のコア サービスを構成する必要があります。 

  • Decoder
  • Concentrator
  • Broker
  • Log Decoder

すべてのサービスを次に示します。Log Collectorを除く各サービスについては、それぞれのガイドまたは共通のガイドが「ホストおよびサービスの構成ガイド」に記載されています。Log Collectorには、すべてのサポートされるイベント収集プロトコルの構成を処理するための独自の構成ガイドがあります。Log Collectorについては、「ログ収集ガイド」を参照してください。

  • Archiver
  • Broker
  • Concentrator
  • Context Hub
  • Decoder
  • Event Stream Analysis
  • Event Stream Analytics
  • Investigate
  • Log Collector
  • Log Decoder
  • Malware Analysis
  • Reporting Engine
  • Respond
  • Warehouse Connector
  • Workbench

ホストやサービスがデータの格納や収集などの機能を実行するには、ネットワークおよび他のホストやサービスと相互に通信するようにホストとサービスを構成する必要があります。 

ホストの設定

[ホスト]ビューを使用して、ホストをNetWitness Suiteに追加します。  「ステップ1. ホストの導入 」で詳細な手順を参照してください。

ホストのメンテナンス

導入環境でホストの追加、編集、削除、その他のメンテナンス タスクを実行するときは、[ホスト]メイン ビューを使用します。ホスト関連のタスク、およびホストとネットワークの通信に関連するタスクを実行するときは、[タスク リスト]ダイアログを使用します。詳細な手順については、「ホストとサービスの処理手順」を参照してください。

NetWitness Suiteの初期導入後、[ホスト]ビューから実行する主なタスクは、NetWitness Suite導入環境を新しいバージョンに更新することです。

更新のバージョン命名規則

[ホスト]ビューを使用してローカル更新リポジトリから最新バージョンの更新を適用します(ローカル更新リポジトリの詳細については、「システム メンテナンス」の「NetWitness Suiteでの更新の管理」を参照してください)。ホストに適用するバージョンを区別するために、更新のバージョン命名規則を理解しておく必要があります。命名規則は、メジャー リリース.マイナー リリース.サービス パック.パッチです。たとえば、11.6.1.2を選択した場合、次のバージョンがホストに適用されます。

  • 11 = メジャー リリース
  •   6 = マイナー リリース
  •   1 = サービス パック
  •   2 = パッチ

NetWitness Suiteは、導入環境内での複数のバージョンの使用をサポートしています。NetWitnessサーバ(NWサーバ ホスト)が最初に更新され、他のすべてのホストはNWサーバホストと同じバージョンまたはそれ以前のバージョンである必要があります。

注:NWサーバホストが最初に更新され、他のすべてのホストはNWサーバホストと同じバージョンまたはそれ以前のバージョンである必要があります。

次に示す複数バージョンの導入環境の例の場合:

  • ローカル更新リポジトリで、Broker、LC/LD、Log Decoderホストについて現在利用可能なバージョンの更新は、11.0.2.0および11.0.1.0です。
  • NWサーバホストとその他のすべてのホストは、現在11.0.2.0に更新されています。

この場合、Broker、LC/LD、Log Decoderの各ホストは、11.0.2.0または11.0.2.0に更新することができます。

サービスのメンテナンス

[サービス]ビューを使用して、導入環境内のサービスの追加、編集、削除、監視、その他のメンテナンス タスクを実行します。詳細な手順については、「ホストとサービスの処理手順」を参照してください。

NetWitnessサーバでのサービスの実装

次の表に示すサービスは、以下をサポートするNWサーバを導入すると実装されます。

  • 物理および仮想導入プラットフォームの拡張とホストおよびサービスのメンテナンスの改善。
  • InvestigateおよびRespond機能の改善。

注意:NetWitness Suiteを導入するためにこれらのサービスを構成する必要はありません。RSAでは、ヘルス モニタを使用してこれらのサービスの動作動作ステータスを監視することを推奨します。カスタマー サポートに連絡せずに[エクスプローラ]ビューでパラメータを変更しないでください。

                                   
サービス目的
Admin

NetWitness Suite管理サーバ(Adminサーバ)は、NetWitness Suite UI(ユーザ インタフェース)での管理タスクのためのバックエンド サービスです。このサービスでは、UIでの認証、グローバル環境設定の管理、許可のサポートを抽象化します。Adminサーバがそのロールを実行するためには、ConfigサーバSecurityサーバをオンラインにする必要があります。

Config

NetWitness Suite構成サーバ(Configサーバ)は、構成セットを格納および管理します。構成セットは、個別に管理される論理構成グループです。Configサーバは、サービス間でのプロパティの共有を促進し、構成済みバックアップとリストア機能を提供して、プロパティに対する変更を追跡します。

InvestigateNWサーバ ホスト上にAdminサーバConfigサーバOrchestrationサーバRespondサーバ、およびSecurityサーバと共存します。
Orchestration NWサーバ上で実行される内部のシステム管理サービスで、NetWitness Suite導入環境内のすべてのサービスをプロビジョニング、インストール、構成します。

Respond

NWサーバ ホスト上にAdminサーバConfigサーバRespondサーバOrchestrationサーバSecurityサーバと共存します。

Security

NetWitness Suiteセキュリティ サーバ(Securityサーバ)は、NetWitness Suite導入環境のセキュリティ インフラストラクチャを管理します。次のセキュリティ関連の問題を処理します。

  • ユーザおよび認証アカウント
  • RBAC(ロール ベースのアクセス制御)
  • 導入環境の公開鍵基盤インフラストラクチャ

NetWitness Suite導入環境には認証アカウントを持つユーザがいます。アナリストのIDを確認する方法(Active Directoryなど)とは別に、NetWitness Suiteでは、すべての認証プロバイダーによって提供されないユーザの状態(最後のログイン時、失敗したログイン試行、ロールなど)を維持する必要が必要があります。ユーザの概念は、ユーザに関連付けられたIDと分離され、セキュリティ サーバは、これらを個別のユーザおよびアカウント エンティティとして維持します。すべてのNetWitness導入ですぐに利用できるのローカルのNetWitnessアカウントに加え、サーバは外部の認証プロバイダーをサポートします。

セキュリティ サーバは、ロールと権限のエンティティを管理してRBACも実装します。権限をロールに割り当て、ロールをユーザに割り当てることができます。これらが連携して、導入環境に対する柔軟な許可ポリシーを実現できます。サーバは、ユーザに適用可能な許可をエンコードする、暗号形式で保護されるトークンの生成も管理します。これらのトークンは、導入環境全体の許可の基礎を形成します。

混合モードでの実行

時間差更新中に生じる機能のギャップ

時間差で更新する場合は、次のようになります。

  • 導入環境内のすべてのホストを更新するまでサービス管理機能を利用できません。
  • 一定期間データが収集されません。

時間差更新の例

次の例では、すべてのホストが11.1.0.xで、ホストをバージョン11.1.1.0に時間差で更新します。

例1. 複数のDecoderとConcentrator、代替方法1

この例では、11.1.0.x導入環境に1つのNWサーバ ホスト、2つのDecoderホスト、2つのConcentratorホスト、1つのArchiverホスト、1つのBrokerホスト、1つのEvent Stream Analysisホスト、1つのMalware Analysisホストが含まれています。

まずフェーズ1を完了し、フェーズ1に示した順序でホストを更新する必要があります。

RSAでは、フェーズ1に示した順序で、フェーズ2のホストを更新することを推奨しています。

フェーズ1 - セッション1

  1. Security Analyticsサーバ ホストを更新します。
  2. Event Stream Analysisホストを更新します。
  3. Malware Analysisホストを更新します。
  4. BrokerまたはConcentratorホスト。

フェーズ2 - セッション2

  1. 2つのDecoderホストを更新します。
  2. 2つのConcentratorホストとArchiverホストを更新します。

フェーズ2 - セッション3

  1. 他のすべてのホストを更新します。

例2. 複数のDecoderとConcentrator、代替方法2

この例では、11.1.0.x導入環境に1つのNWサーバ ホスト、2つのDecoderホスト、2つのConcentratorホスト、1つのBrokerホスト、1つのEvent Stream Analysisホスト、1つのMalware Analysisホストが含まれています。RSAでは、フェーズ2のホストを次の順番で更新することを推奨しています(最初にフェーズ1を完了し、示されている順序でホストを更新する必要があります)。

フェーズ1 - セッション1

  1. Security Analyticsサーバ ホストを更新します。
  2. Event Stream Analysisホストを更新します。
  3. Malware Analysisホストを更新します。
  4. Brokerホストを更新します。

フェーズ2 - セッション2

  1. 1つのDecoderホストと1つのConcentratorホストを更新します。
    NetWitness Suiteがデータ(特に多量のデータの場合)を処理中の場合、時間がかかります。

フェーズ2 - セッション3

  1. 1つのDecoderホスト、1つのConcentratorホスト、Brokerホストを更新します。
  2. Log Decode
    Virtual Log Collectorを更新する前に、すべてのLog Decoderホストを更新します。

  3. 他のすべてのホストを更新します。

例3. 複数の領域

この例では、11.1.0.x導入環境に1つのNWサーバ ホスト、1つのEvent Stream Analysisホスト、1つのMalware Analysisホスト、4つのDecoderホスト、4つのConcentratorホスト、2つのBrokerホスト(それぞれに2つのDecoder、2つのConcentrator、1つのBrokerがある2つのサイト)。

フェーズ1 - サイト1の更新

  1. NWサーバ ホストを更新します。
  2. Event Stream Analysisホストを更新します。
  3. Malware Analysisホストを更新します。
  4. 1つのBrokerホスト、2つのDecoderホスト、2つのConcentratorホストを更新します。
  5. 他のすべてのホストを更新します。

フェーズ2 - サイト2の更新

  1. Brokerホストを更新します。
  2. 2つのDecoderホストを更新します。
  3. 2つのConcentratorホストを更新します。
  4. 他のすべてのホストを更新します。

 

You are here
Table of Contents > ホストおよびサービスの基本

Attachments

    Outcomes