ホストGS:基本情報

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 5Show Document
  • View in full screen mode
 

このガイドは、管理者がNetWitness Platformのホストおよびサービスの追加、構成を行うための標準的な手順を提供します。ホストおよびサービスの基本的な目的とNetWitness Platformネットワーク内での機能の概要を示した後、以下の項目についても説明します。

  • ホストやサービスをセットアップするために完了する必要があるタスク。
  • 組織の長期的かつ日常的な運用のニーズに基づいて実行する追加の手順。
  • ユーザ インタフェースに関するリファレンス トピック

NetWitness Plarform Logs & Network 11.xのすべてのドキュメントの一覧は、「マスター目次」で確認できます。

ホストとは

ホストは、サービスを実行するマシンです。物理マシンと仮想マシンがあります。ホストがどのように導入されるかについては、『NetWitness Platform導入ガイド』の「NetWitness Platform導入環境のホスト詳細図」を参照してください。

ホスト タイプとは

ホスト タイプは、[ホスト]ビューからホストをインストールするときに選択し、ホストにサービスを割り当てます。[ホスト タイプ]は、[ホスト]ビューでホストを選択し、(インストール アイコン)をクリックすると表示される[サービスのインストール]ダイアログで選択します。次の表は、各ホスト タイプと、インストールされるサービスを示しています。ホストがどのように導入されるかについては、『NetWitness Platform導入ガイド』の「NetWitness Platform導入環境のホスト詳細図」を参照してください。

                                                                           
ホスト タイプインストールされるサービス

Archiver

WorkbenchとArchiver

Broker

Broker

Cloud Gateway

Cloud Gateway

Concentrator

Concentrator

Endpoint Hybrid

Log Decoder、Endpoint、Concentrator

Endpoint Log Hybrid

Log Collector、Log Decoder、Endpoint、Concentrator

ESAプライマリ

Context Hub、Entity Behavior Analysis、Event Stream Analysis

ESAセカンダリ

Event Stream Analysis、Entity Behavior Analysis

Log Collector

Log Collector

Log Decoder

Log CollectorとLog Decoder

Log Hybrid

Log Collector、Log Decoder、Concentrator

Malware Analysis

Malware AnalysisとBroker

Network Decoder

Decoder(Packets)

Network Hybrid

ConcentratorとDecoder

UEBA

UEBA

Warehouse Connector

Warehouse Connector

サービスとは

サービスは、ログの収集やデータのアーカイブなど、固有の機能を実行します。各サービスは、専用ポートで実行され、ホストの機能に従って有効化または無効化するプラグ インとして提供されます。

最初に次のコア サービスを構成する必要があります。 

  • Decoder
  • Concentrator
  • Broker
  • Log Decoder

次の表にすべてのサービス示します。Log Collectorを除く各サービスについては、それぞれのガイドまたは共通のガイド「ホストおよびサービスの構成ガイド」が提供されます。Log Collectorには、サポートするすべてのイベント収集プロトコルの構成を処理するため、独自の構成ガイドのセットが提供されます。Log Collectorについては、「ログ収集ガイド」を参照してください。

                                                                                                                                                                     
サービス暗号化されない
非SSLポート
暗号化された
SSLポート

管理者

N/A

N/A

NW Serverに実装されます

Archiver5000856008

 

Broker5000356003コア サービス

Cloud Gateway

N/AN/A

 

Concentrator5000556005コア サービス
Config N/AN/ANW Serverに実装されます。

Content

N/A

N/A

NW Serverに実装されます

Context HubN/AN/A

 

Decoder(Packets)5000456004コア サービス

Endpoint

N/A

N/A

 

Entity Behavior AnalysisN/AN/A 
Event Stream AnalysisN/A50030

 

Integration

N/AN/ANW Serverに実装されます。
InvestigateN/AN/ANW Serverに実装されます。
Log Collector5000156001 
Log Decoder5000256002

コア サービス

Malware AnalysisN/A60007 
OrchestrationN/AN/ANW Serverに実装されます。
Reporting EngineN/A51113NW Serverに実装されます。

Respond

N/AN/ANW Serverに実装されます。

Security

N/AN/ANW Serverに実装されます。

Source

N/A

N/A

NW Serverに実装されます

UEBA

N/A

N/A

 

Warehouse Connector5002056020

 

Workbench5000756007 

ホストやサービスがデータの格納や収集などの機能を実行するには、ネットワークおよび他のホストやサービスと相互に通信するようにホストとサービスを構成する必要があります。 

ホストのセットアップ

[ホスト]ビューを使用してホストをNetWitness Platformに追加します。  詳細な手順については、「ステップ1. ホストの導入」を参照してください。

ホストのメンテナンス

メインの[管理]>[ホスト]ビューを使用して、導入環境内のホストの追加、編集、削除、その他のメンテナンス タスクを実行します。[タスク リスト]ダイアログを使用してホストおよびホストとネットワークの通信に関連するタスクを実行します。詳細な手順については、「ホストとサービスの手順」を参照してください。

NetWitness Platformの初期導入後、[ホスト]ビューから実行する主なタスクは、NetWitness Platform導入環境を新しいバージョンに更新することです。

更新のバージョン命名規則

ローカル更新リポジトリへの更新の配置から最新のバージョン更新を適用するには、[ホスト]ビューを使用します。ホストに適用するバージョンを区別するために、更新のバージョン命名規則を理解しておく必要があります。命名規則は、メジャー リリース.マイナー リリース.サービス パック.パッチです。たとえば、11.6.1.2を選択した場合、次のバージョンがホストに適用されます。

  • 11 = メジャー リリース
  •   6 = マイナー リリース
  •   1 = サービス パック
  •   2 = パッチ

NetWitness Platformは、導入環境内での複数のバージョンの使用をサポートしています。NetWitness Server(NW Server)ホストが最初に更新され、他のすべてのホストはNW Serverホストと同じバージョンまたはそれ以前のバージョンである必要があります。

次の例は、すべてのホストが11.2.0.0(この時点での最新リリース)に更新された単一バージョンの導入環境を示しています。

サービスのメンテナンス

[管理]>[サービス]ビューを使用して、導入環境内のサービスの追加、編集、削除、監視、その他のメンテナンス タスクを実行します。詳細な手順については、「ホストとサービスの手順」を参照してください。

NetWitness Serverに実装されるサービス

次の表のサービスは、NW Serverを導入するとインストールされます。次の機能を提供します。

  • 物理および仮想プラットフォームの拡張、ホストおよびサービスのメンテナンスの強化。
  • コンテンツ、調査、対応、ソースの機能。

注意:NetWitness Platformを導入するためにこれらのサービスを構成する必要はありません。RSAでは、ヘルス モニタを使用してこれらのサービスの稼働ステータスを監視することを推奨します。RSAカスタマー サポートの指示がある場合を除き、[エクスプローラ]ビューでこれらのサービスのパラメータを変更しないでください。

                                               
サービス目的
Admin

Administration Server(Admin Server)は、NetWitness Platform UI(ユーザ インタフェース)の管理タスクのためのバックエンド サービスです。このサービスでは、UIでの認証、グローバル環境設定の管理、許可のサポートを抽象化します。Admin Serverが機能するためには、Config ServerSecurity Serverがオンラインである必要があります。

Config

Configuration Server(Config Server)は、構成セットを格納および管理します。構成セットは、個々に管理される構成の論理的グループです。Config Serverは、サービス間でのプロパティの共有を促進し、構成のバックアップとリストア機能を提供し、プロパティの変更を追跡します。

Content

Content Serverは、RSA提供のParserルールと、ユーザ作成のParserルールを管理します。Parserの管理の詳細については、RSA Linkで「parsers」を検索してください。

Integration

Integration Serverは外部システムとのやり取りを管理します。このサービスは、次のアウトバウンドまたはインバウンド チャネルを処理します。

  • REST API Gateway:外部RESTクライアントへのゲートウェイとして、呼び出しをNetWitness API(Application Programming Interface)に割り当てます。
  • Notifications Dispatcher:NetWitness導入環境からのすべてのアウトバウンド通知の一元化されたディスパッチャーです。
InvestigateInvestigate Serverは、調査およびマルウェア解析機能をサポートします。詳細については、『NetWitness Platform Investigateユーザ ガイド』を参照してください。
Orchestration Orchestration Server(Orchestration Server)は、NetWitness Platform導入環境のすべてのサービスをプロビジョニング、インストール、構成します。

Respond

Respond Serverは、インシデント対応機能をサポートします。詳細については、『NetWitness Platform Respond構成ガイド』を参照してください。

Security

NetWitness Platform Security Server(Security Server)は、NetWitness Platform導入環境のセキュリティ インフラストラクチャを管理します。次のセキュリティ関連の処理を実行します。

  • ユーザおよび認証アカウント
  • RBAC(ロール ベースのアクセス制御)
  • 導入環境のPKIインフラストラクチャ

NetWitness Platform導入環境では、ユーザの認証アカウントが管理されます。アナリストのIDを確認する方法(Active Directoryなど)とは別に、NetWitness Platformでは、認証プロバイダーから提供されないユーザの状態(最後のログイン時刻、失敗したログイン試行、ロールなど)を管理する必要があります。ユーザの概念は、ユーザに関連付けられたIDと分離され、Security Serverによって、個別のユーザおよびアカウント エンティティとして管理されます。すべてのNetWitness導入環境で利用可能な標準のローカルNetWitnessアカウントに加え、外部の認証プロバイダーをサポートします。

Security Serverは、ロールと権限のエンティティを管理してRBACも実装します。権限をロールに割り当てることができ、ロールをユーザに割り当てることができます。これらが連携して、導入環境に対する柔軟な認証ポリシーを実現できます。Security Serverは、ユーザへの適切な認可をエンコードするため、暗号化されたトークンの生成も管理します。これらのトークンは、導入環境全体の認可の基礎を形成します。

Source

Source Serverは将来の使用のために予約されており、ソース(エンドポイントやログ ソースなど)の構成を一元的に管理する機能を提供する予定です。

混在モードでの実行

混在モードは、最新バージョンに更新されたサービスと、古いバージョンのままのサービスが混在するときに生じます。この状況は、導入環境のホストを複数のフェーズで最新バージョンに更新する場合(または時間差で更新する場合)に起こります。

時間差更新中に生じる機能のギャップ

時間差で更新する場合は、以下のような状況が発生します。

  • 導入環境全体が更新されるまで、機能が完全に動作しないことがあります。
  • 導入環境内のすべてのホストを更新するまでサービス管理機能を利用できません。
  • 一定期間データが収集されません。

段階的アップグレードの例

次の例では、すべてのホストが11.2.0.xで、ホストをバージョン11.2.1.0に時間差で更新します。

例1. 複数のDecoderとConcentrator、代替方法1

この例では、11.0.2.x導入環境に1つのNW Serverホスト、2つのDecoderホスト、2つのConcentratorホスト、1つのArchiverホスト、1つのBrokerホスト、1つのEvent Stream Analysisホスト、1つのMalware Analysisホストが含まれています。

まずフェーズ1を完了し、フェーズ1に示した順序でホストを更新する必要があります。

RSAでは、フェーズ1に示した順序で、フェーズ2のホストを更新することを推奨しています。

フェーズ1 - セッション1     

  1. NetWitness Serverホストを更新します。
  2. Event Stream Analysisホストを更新します。
  3. Malware Analysisホストを更新します。
  4. BrokerまたはConcentratorホストを更新します。

フェーズ2 - セッション2

  1. 2つのDecoderホストを更新します。
  2. 2つのConcentratorホストとArchiverホストを更新します。

フェーズ2 - セッション3

  1. 他のすべてのホストを更新します。

例2. 複数のDecoderとConcentrator、代替方法2

この例では、11.0.2.x導入環境に1つのNW Serverホスト、2つのDecoderホスト、2つのConcentratorホスト、1つのBrokerホスト、1つのEvent Stream Analysisホスト、1つのMalware Analysisホストが含まれています。RSAでは、フェーズ2のホストを以下の順番で更新することを推奨しています(最初にフェーズ1を完了し、記載された順序でホストを更新する必要があります)。

フェーズ1 - セッション1

  1. NetWitness Serverホストを更新します。
  2. Event Stream Analysisホストを更新します。
  3. Malware Analysisホストを更新します。
  4. Brokerホストを更新します。

フェーズ2 - セッション2

  1. 1つのDecoderホストと1つのConcentratorホストを更新します。
    NetWitness Platformが特に大量のデータを処理する場合、時間がかかります。

フェーズ2 - セッション3

  1. 1つのDecoderホスト、1つのConcentratorホストおよびBrokerホストを更新します。
  2. Virtual Log Collectorを更新する前に、すべてのLog Decoderホストを更新します。

  3. 他のすべてのホストを更新します。

例3. 複数の地域に分散する場合

この例では、11.2.0.x導入環境に1つのNW Serverホスト、1つのEvent Stream Analysisホスト、1つのMalware Analysisホスト、4つのDecoderホスト、4つのConcentratorホスト、2つのBrokerホスト(2つのサイトに、それぞれ2つのDecoder、2つのConcentrator、および1つのBrokerを配置)が含まれます。

フェーズ1 - サイト1の更新

  1. NW Serverホストを更新します。
  2. Event Stream Analysisホストを更新します。
  3. Malware Analysisホストを更新します。
  4. 1つのBrokerホスト、2つのDecoderホスト、2つのConcentratorホストを更新します。
  5. 他のすべてのホストを更新します。

フェーズ2 - サイト2の更新

  1. Brokerホストを更新します。
  2. 2つのDecoderホストを更新します。
  3. 2つのConcentratorホストを更新します。
  4. 他のすべてのホストを更新します。

 

You are here
Table of Contents > ホストおよびサービスの基本情報

Attachments

    Outcomes