ホストGS:基本情報

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Jul 10, 2019
Version 6Show Document
  • View in full screen mode
 

このガイドでは、管理者がNetWitness Platformのホストおよびサービスを追加、構成するための標準的な手順について説明します。始めにホストおよびサービスの基本的な目的とNetWitness Platformネットワーク内での役割を紹介し、以下の項目についても説明します。

  • ホストおよびサービスをセットアップするために必要なタスク
  • 長期的運用および日常的運用のために必要な追加の手順
  • ユーザ インタフェースについて説明した参考情報

NetWitness Plarform Logs & Network 11.xのすべてのドキュメントの一覧は、「マスター目次」で確認できます。

ホストとは

ホストは、サービスを実行するマシンです。物理マシンと仮想マシンがあります。ホストがどのように導入されるかについては、『NetWitness Platform導入ガイド』の「NetWitness Platform導入環境のホスト詳細図」を参照してください。

カテゴリについて

カテゴリは、[ホスト]ビューからホストをインストールするときに選択し、ホストで実行するサービスを割り当てます。カテゴリは、[ホスト]ビューでホストを選択し、(インストール アイコン)をクリックすると表示される[サービスのインストール]ダイアログで選択します。次の表は、カテゴリとインストールされるサービスの一覧です。ホストがどのように導入されるかについては、『NetWitness Platform導入ガイド』の「NetWitness Platform導入環境のホスト詳細図」を参照してください。

                                                                           
カテゴリインストールされるサービス

Archiver

Workbench、Archiver

Broker

Broker

Cloud Gateway

Cloud Gateway

Concentrator

Concentrator

Endpoint Broker

Endpoint Broker

Endpoint Log Hybrid

Log Collector、Log Decoder、Endpoint Server、Concentrator

ESAプライマリ

Entity Behavior Analytics、Contexthub、ESA Correlation

ESAセカンダリ

Entity Behavior Analytics、ESA Correlation

Log Collector

Log Collector

Log Decoder

Log Collector、Log Decoder

Log Hybrid

Log Collector、Log Decoder、Concentrator

Malware Analysis

Malware Analysis、Broker

Network Decoder

Decoder(パケット)

Network Hybrid

Concentratorm、Decoder

UEBA

UEBA

Warehouse Connector

Warehouse Connector

サービスとは

サービスは、ログの収集やデータのアーカイブなど、固有の機能を実行します。各サービスは、専用ポートで実行され、ホストの役割に従って有効化または無効化するプラグ インとして提供されます。

最初に次のコア サービスを構成する必要があります。 

  • Decoder
  • Concentrator
  • Broker
  • Log Decoder

次の表は、すべてのサービスの一覧です。Log Collectorを除く各サービスには、専用のガイドまたは共通のガイドとして『ホストおよびサービスの構成ガイド』が提供されます。Log Collectorには、サポートするすべてのイベント収集プロトコルの構成に対応した専用の構成ガイドが提供されます。Log Collectorについては、「ログ収集ガイド」を参照してください。

                                                                                                                                        
カテゴリサービス暗号化されない
非SSLポート
暗号化された
SSLポート
メモ

Admin Server

Admin
Config
Content
Integration
Investigate
License
Orchestration
Reporting Engine
Respond
Security

N/A
N/A
N/A
N/A
N/A
N/A
N/A
51113
N/A
N/A

N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A

NW Serverに実装
NW Serverに実装
NW Serverに実装
NW Serverに実装
NW Serverに実装
NW Serverに実装
NW Serverに実装

NW Serverに実装
NW Serverに実装

Archiver Archiver
Workbench
50008
50007
56008
56007

 

 

Broker

Broker

5000356003コア サービス

Cloud Gateway

Cloud Gateway

N/AN/A

 

Concentrator

Concentrator

5000556005コア サービス

Endpoint Broker

Endpoint Broker

N/A

N/A

 

Endpoint Log HybridLog Collector
Log Decoder
Endpoint Server
Concentrator
50001
50002
N/A
50005
56001
56002
N/A
56005
 
ESAプライマリEntity Behavior Analytics
Contexthub
ESA Correlation
N/A
N/A
N/A
N/A
N/A
50030
 
ESAセカンダリEntity Behavior Analytics
ESA Correlation
N/A
N/A
N/A
N/A
 
Log Collector

Log Collector

5000156001 

Log Decoder

Log Collector
Log Decoder

50001
50002

56001
56002

 

Log HybridLog Collector
Log Decoder
Concentrator

50001
50002
50005

56001
56002
56005

 

Malware Analysis

Malware Analysis
Broker

N/A

60007

 

Network DecoderDecoder5000456004 

Network Hybrid

Concentrator
Decoder

50005

56005

 

UEBA

UEBA

N/A

N/A

 

Warehouse Connector

Warehouse Connector

5002056020

コマンド ラインによるインストール

ホストおよびサービスがデータの格納や収集などの機能を実行できるよう、ネットワーク、他のホストおよびサービスとの通信を構成する必要があります。 

ホストのセットアップ

[ホスト]ビューを使用してホストをNetWitness Platformに追加します。  詳細な手順については、「ステップ1. ホストの導入」を参照してください。

ホストのメンテナンス

[管理]>[ホスト]ビューを使用して、導入環境のホストの追加、編集、削除、その他のメンテナンス タスクを実行します。[タスク リスト]ダイアログを使用してホストおよびホストとネットワークの通信に関連するタスクを実行します。詳細な手順については、「ホストとサービスの手順」を参照してください。

NetWitness Platformの初期導入後、[ホスト]ビューから実行する主なタスクは、NetWitness Platform導入環境を新しいバージョンに更新することです。

更新のバージョン命名規則

ローカル更新リポジトリへの更新の配置から最新のバージョン更新を適用するには、[ホスト]ビューを使用します。ホストに適用するバージョンを区別するために、更新のバージョン命名規則を理解しておく必要があります。命名規則は、メジャー リリース.マイナー リリース.サービス パック.パッチです。たとえば、11.6.1.2を選択した場合、次のバージョンがホストに適用されます。

  • 11 = メジャー リリース
  •   6 = マイナー リリース
  •   1 = サービス パック
  •   2 = パッチ

NetWitness Platformは、導入環境内での複数のバージョンの使用をサポートしています。NetWitness Server(NW Server)ホストを最初に更新し、他のすべてのホストはNW Serverホストと同じバージョンか、それ以前のバージョンである必要があります。

次の例は、すべてのホストが11.3.0.0(この時点での最新リリース)に更新された単一バージョンの導入環境を示しています。

サービスのメンテナンス

[管理]>[サービス]ビューを使用して、導入環境のサービスの追加、編集、削除、監視、その他のメンテナンス タスクを実行します。詳細な手順については、「ホストとサービスの手順」を参照してください。

NetWitness Serverに実装されるサービス

次の表のサービスは、NW Serverを導入するとインストールされます。次の機能を提供します。

  • 物理および仮想プラットフォームの拡張、ホストおよびサービスのメンテナンス性の向上。
  • コンテンツ、調査、対応、ソースの機能。

注意:NetWitness Platformを導入するためにこれらのサービスを構成する必要はありません。RSAでは、ヘルス モニタを使用してこれらのサービスの稼働ステータスを監視することを推奨します。カスタマー サポートの指示がある場合を除き、[エクスプローラ]ビューでこれらのサービスのパラメータを変更しないでください。

                                               
サービス目的
Admin

Administration Server(Admin Server)は、NetWitness Platform UI(ユーザ インタフェース)で実行する管理タスクのためのバックエンド サービスです。このサービスは、UIの認証、グローバル環境設定の管理、アクセス許可を抽象化します。Admin Serverが機能するためには、Config ServerSecurity Serverがオンラインである必要があります。

Config

Configuration Server(Config Server)は、構成セットを格納および管理します。構成セットは、個々に管理される構成情報の論理的グループです。Config Serverは、サービス間でのプロパティの共有を容易にし、構成のバックアップとリストア機能を提供し、プロパティの変更を追跡します。

Content

Content Serverは、RSA提供のParserルールと、ユーザ作成のParserルールを管理します。Parserの管理の詳細については、RSA Linkで「parsers」を検索してください。

Integration

Integration Serverは外部システムとの処理を管理します。このサービスは、次のアウトバウンドまたはインバウンド チャネルを処理します。

  • REST API Gateway:外部RESTクライアントへのゲートウェイとして機能し、呼び出しをNetWitness API(Application Programming Interface)に割り当てます。
  • Notifications Dispatcher:NetWitness導入環境からのすべてのアウトバウンド通知を一元的にディスパッチします。
InvestigateInvestigate Serverは、調査およびマルウェア解析機能をサポートします。詳細については、『NetWitness Platform Investigateユーザ ガイド』を参照してください。
Orchestration Orchestration Serverは、NetWitness Platform導入環境のすべてのサービスをプロビジョニング、インストール、構成します。

Respond

Respond Serverは、インシデント対応機能をサポートします。詳細については、『NetWitness Platform Respond構成ガイド』を参照してください。

Security

NetWitness Platform Security Server(Security Server)は、NetWitness Platform導入環境のセキュリティ インフラストラクチャを管理します。次のセキュリティ関連の処理を実行します。

  • ユーザおよび認証アカウント
  • RBAC(ロール ベースのアクセス制御)
  • PKIインフラストラクチャ

NetWitness Platform導入環境では、ユーザの認証アカウントが管理されます。アナリストのIDを検証する方法(Active Directoryなど)とは別に、NetWitness Platformは、認証プロバイダから提供されないユーザの状態(最後のログイン時刻、失敗したログイン試行、ロールなど)を管理する必要があります。ユーザの概念は、ユーザに関連付けられたIDと分離され、Security Serverによって、個別のユーザおよびアカウント エンティティとして管理されます。すべてのNetWitness導入環境で利用可能な標準のNetWitnessローカル アカウントに加え、外部の認証プロバイダをサポートします。

Security Serverは、ロールと権限のエンティティを管理してRBACも実装します。権限をロールに割り当てることができ、ロールをユーザに割り当てることができます。これらが連携して、導入環境に対する柔軟なアクセス許可ポリシーを実現します。Security Serverは、ユーザに適用されるアクセス許可をエンコードするため、暗号化されたトークンの生成も管理します。これらのトークンは、導入環境全体のアクセス許可の基礎を形成します。

Source

Source Serverは将来の使用のために予約されており、ソース(エンドポイントやログ ソースなど)の構成を一元的に管理する機能を提供する予定です。

混在モードでの実行

混在モードは、最新バージョンに更新されたサービスと、古いバージョンのままのサービスが混在するときに生じます。この状況は、導入環境のホストを複数のフェーズで最新バージョンに更新する場合(または時間差で更新する場合)に起こります。

時間差更新中に生じる機能のギャップ

時間差で更新する場合は、以下のような状況が発生します。

  • 導入環境全体が更新されるまで、機能が完全に動作しないことがあります。
  • 導入環境内のすべてのホストを更新するまでサービス管理機能を利用できません。
  • 一定期間データが収集されません。

段階的アップグレードの例

次の例では、すべてのホストが11.3.0.xで、ホストをバージョン11.3.1.0に時間差で更新します。

例1. 複数のDecoderとConcentrator、代替方法1

この例では、11.3.0.x導入環境に1つのNW Serverホスト、2つのDecoderホスト、2つのConcentratorホスト、1つのArchiverホスト、1つのBrokerホスト、1つのEvent Stream Analysisホスト、1つのMalware Analysisホストが含まれています。

まずフェーズ1を完了し、フェーズ1に示した順序でホストを更新する必要があります。

RSAでは、フェーズ2に示した順序で、フェーズ2のホストを更新することを推奨しています。

フェーズ1 - セッション1  

  1. NetWitness Serverホストを更新します。
  2. Event Stream Analysisホストを更新します。
  3. Endpoint Log Hybridホストを更新します。
  4. Malware Analysisホストを更新します。
  5. BrokerまたはConcentratorホストを更新します。

フェーズ2 - セッション2

  1. 2つのDecoderホストを更新します。
  2. 2つのConcentratorホストとArchiverホストを更新します。

フェーズ2 - セッション3

  1. 他のすべてのホストを更新します。

例2. 複数のDecoderとConcentrator、代替方法2

この例では、11.3.0.x導入環境に1つのNW Serverホスト、2つのDecoderホスト、2つのConcentratorホスト、1つのBrokerホスト、1つのEvent Stream Analysisホスト、1つのMalware Analysisホストが含まれています。RSAでは、フェーズ2のホストを以下の順番で更新することを推奨しています(最初にフェーズ1を完了し、記載された順序でホストを更新する必要があります)。

フェーズ1 - セッション1

  1. NetWitness Serverホストを更新します。
  2. Event Stream Analysisホストを更新します。
  3. Endpoint Log Hybridホストを更新します。
  4. Malware Analysisホストを更新します。
  5. Brokerホストを更新します。

フェーズ2 - セッション2

  1. 1つのDecoderホストと1つのConcentratorホストを更新します。
    NetWitness Platformが特に大量のデータを処理する場合、時間がかかります。

フェーズ2 - セッション3

  1. 1つのDecoderホスト、1つのConcentratorホストおよびBrokerホストを更新します。
  2. Virtual Log Collectorを更新する前に、すべてのLog Decoderホストを更新します。

  3. 他のすべてのホストを更新します。

例3. 複数の地域に分散する場合

この例では、11.3.0.x導入環境に1つのNW Serverホスト、1つのEvent Stream Analysisホスト、1つのMalware Analysisホスト、4つのDecoderホスト、4つのConcentratorホスト、2つのBrokerホスト(2つのサイトに、それぞれ2つのDecoder、2つのConcentrator、および1つのBrokerを配置)が含まれます。

フェーズ1 - サイト1の更新

  1. NW Serverホストを更新します。
  2. Event Stream Analysisホストを更新します。
  3. Endpoint Log Hybridホストを更新します。
  4. Malware Analysisホストを更新します。
  5. 1つのBrokerホスト、2つのDecoderホスト、2つのConcentratorホストを更新します。
  6. 他のすべてのホストを更新します。

フェーズ2 - サイト2の更新

  1. Brokerホストを更新します。
  2. 2つのDecoderホストを更新します。
  3. 2つのConcentratorホストを更新します。
  4. 他のすべてのホストを更新します。

 

You are here
Table of Contents > ホストおよびサービスの基本情報

Attachments

    Outcomes