ホストGS:基本的な操作

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 4Show Document
  • View in full screen mode
 

このガイドでは、NetWitness Suiteでホストやサービスの追加、構成を実施するための標準的な手順に関する情報を提供します。ホストやサービスの基本的な目的とNetWitness Suiteネットワーク内での機能の概要を示した後、以下の項目についても説明します。

  • ネットワーク内でホストやサービスをセットアップするために完了する必要があるタスク。
  • 組織の長期的かつ日常的な運用のニーズに基づいて実行する追加の手順。
  • ユーザ インタフェースに関するリファレンス トピック

ホストとは

ホストは、サービスが実行されるマシンであり、物理マシンであることも、仮想マシンであることもあります。ホストがどのように導入されるかの図については、「RSA Netwitness Suite導入ガイド」の「RSA NetWitness Suiteホスト導入の詳細図」を参照してください。NetWitness Suite 11.xのすべてのドキュメントの一覧を確認するには、NetWitness Logs & Packets 11.xの「マスター目次」に移動します。

ホスト タイプとは

ホスト タイプは、[ホスト]ビューからホストをインストールするときに、サービスをホストに割り当てます。[ホスト タイプ]は、[ホスト]ビューでホストを選択して(インストール アイコン)をクリックすると表示される[サービスのインストール]ダイアログで選択します。次の表は、各ホスト タイプと、インストールされるサービスを示しています。ホストがどのように導入されるかの図については、「RSA Netwitness Suite導入ガイド」の「RSA NetWitness Suiteホスト導入の詳細図」を参照してください。NetWitness Suite 11.xのすべてのドキュメントの一覧を確認するには、NetWitness Logs & Packets 11.xの「マスター目次」に移動します。

                                                                       
ホスト タイプインストールされるサービス

Archiver

WorkbenchとArchiver

Broker

Broker

Cloud Gateway

Cloud Gateway

ConcentratorConcentrator

Endpoint Hybrid

Log Decoder、Endpoint、Concentrator

Endpoint Log Hybrid

Log Collector、Log Decoder、Endpoint、Concentrator

ESAプライマリContext Hub、Entity Behavior Analysis、Event Stream Analysis

ESAセカンダリ

Entity Behavior Analysis、Event Stream Analysis

Log Collector

Log Collector

Log Decoder

Log CollectorとLog Decoder

Log Hybrid

Log Collector、Log Decoder、Concentrator

Malware AnalysisMalware AnalysisとBroker
Packet DecoderDecoder
Packet HybridConcentratorとDecoder

Warehouse Connector

Warehouse Connector

サービスとは

サービスは、ログの収集やデータのアーカイブなど、固有の機能を実行します。各サービスは、専用ポートで実行され、ホストの機能に従って有効化または無効化するプラグ インとして提供されます。

最初に次のコア サービスを構成する必要があります。 

  • Decoder
  • Concentrator
  • Broker
  • Log Decoder

すべてのサービスを次に示します。Log Collectorを除く各サービスについては、それぞれのガイドまたは共通のガイドが「ホストおよびサービスの構成ガイド」に記載されています。Log Collectorには、すべてのサポートされるイベント収集プロトコルの構成を処理するための独自の構成ガイドがあります。Log Collectorについては、「ログ収集ガイド」を参照してください。

  • Archiver
  • Broker
  • Cloud Gateway
  • Concentrator
  • Context Hub
  • Decoder(Packets)
  • Endpoint
  • Entity Behavior Analysis
  • Event Stream Analysis
  • Investigate
  • Log Collector
  • Log Decoder
  • Malware Analysis
  • Reporting Engine
  • Respond
  • Warehouse Connector
  • Workbench

ホストやサービスがデータの格納や収集などの機能を実行するには、ネットワークおよび他のホストやサービスと相互に通信するようにホストとサービスを構成する必要があります。 

ホストの設定

[ホスト]ビューを使用してホストをNetWitness Suiteに追加します。  詳細については、「ステップ1. ホストの導入」を参照してください。

ホストのメンテナンス

[ホスト]ビューを使用して、導入環境内のホストの追加、編集、削除、その他のメンテナンス タスクを実行します。[タスク リスト]ダイアログを使用してホストおよびホストとネットワークの通信に関連するタスクを実行します。詳細な手順については、「ホストとサービスの処理手順」を参照してください。

NetWitness Suiteの初期導入後、[ホスト]ビューから実行する主なタスクは、NetWitness Suite導入環境を新しいバージョンに更新することです。

更新のバージョン命名規則

[ホスト]ビューを使用してローカル更新リポジトリから最新バージョンの更新を適用します(ローカル更新リポジトリの詳細については、「システム メンテナンス」の「NetWitness Suiteでの更新の管理」トピックを参照してください)。ホストに適用するバージョンを区別するために、更新のバージョン命名規則を理解しておく必要があります。命名規則は、メジャー リリース.マイナー リリース.サービス パック.パッチです。たとえば、11.6.1.2を選択した場合、次のバージョンがホストに適用されます。

  • 11 = メジャー リリース
  •   6 = マイナー リリース
  •   1 = サービス パック
  •   2 = パッチ

NetWitness Suiteは、導入環境内での複数のバージョンの使用をサポートしています。NetWitness Server(NW Serverホスト)が最初に更新され、他のすべてのホストはNW Serverホストと同じバージョンまたはそれ以前のバージョンである必要があります。

注:NW Serverホストが最初に更新され、他のすべてのホストはNW Serverホストと同じバージョンまたはそれ以前のバージョンである必要があります。

次に示す複数バージョンの導入環境の例では、

  • ローカル更新リポジトリで、Broker、LC/LD、Log Decoderホストについて現在利用可能なバージョンの更新は、11.0.2.0および11.0.1.0です。
  • NW Serverホストとその他のすべてのホストは、現在11.0.2.0に更新されています。

この場合、Broker、LC/LD、Log Decoderの各ホストは、11.0.2.0または11.0.2.0に更新することができます。

サービスのメンテナンス

[サービス]ビューを使用して、導入環境内のサービスの追加、編集、削除、監視、その他のメンテナンス タスクを実行します。詳細な手順については、「ホストとサービスの処理手順」を参照してください。

NetWitness Serverでのサービスの実装

次の表に示すサービスは、以下をサポートするNW Serverを導入すると実装されます。

  • 物理および仮想導入プラットフォームの拡張とホストおよびサービスのメンテナンスの強化。
  • InvestigateおよびRespond機能の改善。

注意:NetWitness Suiteを導入するためにこれらのサービスを構成する必要はありません。RSAでは、ヘルス モニタを使用してこれらのサービスの動作ステータスを監視することを推奨します。カスタマー サポートに連絡せずに[エクスプローラ]ビューでパラメータを変更しないでください。

                                       
サービス目的
Admin

Administration Server(Admin Server)は、NetWitness Suite UI(ユーザ インターフェース)での管理タスクのためのバックエンド サービスです。このサービスでは、UIでの認証、グローバル環境設定の管理、許可のサポートを抽象化します。Admin Serverがその役割を実行するためには、Config ServerSecurity Serverをオンラインにする必要があります。

Config

Configuration Server(Config Server)は、構成セットを格納および管理します。構成セットは、個別に管理される論理構成グループです。Config Serverは、サービス間でのプロパティの共有を促進し、構成のバックアップとリストア機能を提供して、プロパティに対する変更を追跡します。

Integration

Integration Serverは外部システムとのやり取りを管理します。このサービスは、次のアウトバウンドまたはインバウンド チャネルを処理します。

  • REST API Gateway:外部RESTクライアントへのゲートウェイで、呼び出しをNetWitness API(Application Programming Interface)に割り当てます。
  • Notifications Dispatcher:NetWitness導入環境からのすべてのアウトバウンド通知の一元化されたディスパッチャーです。
InvestigateInvestigate Serverは、NW Serverホスト上にAdmin ServerConfig ServerIntegration Server、Orchestration ServerRespond ServerSecurity Serverと共存します。詳細については、「RSA NetWitness Suite InvestigateおよびMalware Analysisユーザ ガイド」を参照してください。NetWitness Suite 11.xのすべてのドキュメントの一覧を確認するには、NetWitness Logs & Packets 11.xの「マスター目次」に移動します。
Orchestration Orchestration Serverは、NW Server上で実行される内部のシステム管理サービスで、NetWitness Suite導入環境内のすべてのサービスをプロビジョニング、インストール、および構成します。

Respond

Respond Serverは、NW Serverホスト上にAdmin ServerConfig ServerInvestigate ServerOrchestration ServerSecurity Serverと共存します。詳細については、「RSA NetWitness Suite Respond構成ガイド」を参照してください。NetWitness Suite 11.xのすべてのドキュメントの一覧を確認するには、NetWitness Logs & Packets 11.xの「マスター目次」に移動します。

Security

NetWitness SuiteSecurity Server(Security Server)は、NetWitness Suite導入環境のセキュリティ インフラストラクチャを管理します。次のセキュリティ関連の問題を処理します。

  • ユーザおよび認証アカウント
  • RBAC(ロール ベースのアクセス制御)
  • 導入環境のPKIインフラストラクチャ

NetWitness Suite導入環境には認証アカウントを持つユーザがいます。アナリスト本人確認方法(Active Directoryなど)とは別に、NetWitness Suiteでは、認証プロバイダーによっては提供されない場合もあるユーザの状態(最後のログイン時、失敗したログイン試行、ロールなど)を維持する必要があります。ユーザの概念は、ユーザに関連付けられた本人性とは分離され、Security Serverは、これらを個別のユーザおよびアカウント エンティティとして維持します。すべてのNetWitness導入ですぐに利用できるローカルのNetWitnessアカウントに加え、Security Serverは外部の認証プロバイダーをサポートします。

Security Serverは、ロールと権限のエンティティを管理してRBACも実装します。権限をロールに割り当てることができ、ロールをユーザに割り当てることができます。これらが連携して、導入環境に対する柔軟な認証ポリシーを実現できます。Security Serverは、ユーザへの適切な認可をエンコードする、暗号化で保護されるトークンの生成も管理します。これらのトークンは、導入環境全体の認可の基礎を形成します。

混在モードでの実行

混在モードは、最新バージョンに更新されているサービスと、古いバージョンのままのサービスが混在するときに生じます。この状況は、導入環境のホストを複数のフェーズで最新バージョンに更新する場合(または時間差で更新する場合)に起こります。

時間差更新中に生じる機能のギャップ

時間差で更新する場合は、以下のようになります。

  • 導入環境全体が更新されるまで、機能が完全に動作しないことがあります。
  • 導入環境内のすべてのホストを更新するまでサービス管理機能を利用できません。
  • 一定期間データが収集されません。

段階的アップグレードの例

次の例では、すべてのホストが11.1.0.xで、ホストをバージョン11.1.1.0に時間差で更新します。

例1. 複数のDecoderとConcentrator、代替方法1

この例では、11.1.0.x導入環境に1つのNW Serverホスト、2つのDecoderホスト、2つのConcentratorホスト、1つのArchiverホスト、1つのBrokerホスト、1つのEvent Stream Analysisホスト、1つのMalware Analysisホストが含まれています。

まずフェーズ1を完了し、フェーズ1に示した順序でホストを更新する必要があります。

RSAでは、フェーズ1に示した順序で、フェーズ2のホストを更新することを推奨しています。

フェーズ1 - セッション1

  1. Security Analyticsサーバ ホストを更新します。
  2. Event Stream Analysisホストを更新します。
  3. Malware Analysisホストを更新します。
  4. BrokerまたはConcentratorホスト。

フェーズ2 - セッション2

  1. 2つのDecoderホストを更新します。
  2. 2つのConcentratorホストとArchiverホストを更新します。

フェーズ2 - セッション3

  1. 他のすべてのホストを更新します。

例2. 複数のDecoderとConcentrator、代替方法2

この例では、11.1.0.x導入環境に1つのNW Serverホスト、2つのDecoderホスト、2つのConcentratorホスト、1つのBrokerホスト、1つのEvent Stream Analysisホスト、1つのMalware Analysisホストが含まれています。RSAでは、フェーズ2のホストを以下の順番で更新することを推奨しています(最初にフェーズ1を完了し、示されている順序でホストを更新する必要があります)。

フェーズ1 - セッション1

  1. Security Analyticsサーバ ホストを更新します。
  2. Event Stream Analysisホストを更新します。
  3. Malware Analysisホストを更新します。
  4. Brokerホストを更新します。

フェーズ2 - セッション2

  1. 1つのDecoderホストと1つのConcentratorホストを更新します。
    NetWitness Suiteがデータ(特に多量のデータの場合)を処理中の場合、時間がかかります。

フェーズ2 - セッション3

  1. 1つのDecoderホスト、1つのConcentratorホストおよびBrokerホストを更新します。
  2. Log Decode
    Virtual Log Collectorを更新する前に、すべてのLog Decoderホストを更新します。

  3. 他のすべてのホストを更新します。

例3. 複数の領域

この例では、11.1.0.x導入環境に1つのNW Serverホスト、1つのEvent Stream Analysisホスト、1つのMalware Analysisホスト、4つのDecoderホスト、4つのConcentratorホスト、2つのBrokerホスト(それぞれに2つのDecoder、2つのConcentrator、および1つのBrokerがある2つのサイト)。

フェーズ1 - サイト1の更新

  1. NW Serverホストを更新します。
  2. Event Stream Analysisホストを更新します。
  3. Malware Analysisホストを更新します。
  4. 1つのBrokerホスト、2つのDecoderホスト、2つのConcentratorホストを更新します。
  5. 他のすべてのホストを更新します。

フェーズ2 - サイト2の更新

  1. Brokerホストを更新します。
  2. 2つのDecoderホストを更新します。
  3. 2つのConcentratorホストを更新します。
  4. 他のすべてのホストを更新します。

 

You are here
Table of Contents > ホストおよびサービスの基本

Attachments

    Outcomes