このトピックでは、NetWitness Suiteのフィードバックとデータ共有機能について説明します。
これらの機能は、[管理]>[システム]>[Liveサービス]ビューの[付加的なLiveサービス]セクションで設定できます。
付加的なLiveサービス
付加的なLiveサービスへの参加は、[管理]>[システム]>[Liveサービス]ビューで構成されます。
Liveフィードバック
Liveフィードバックは、RSA NetWitness Suiteの向上のために使用されます。
Liveアカウントを設定および構成すると、使用状況データがRSAと共有されます。データは規定のライセンス契約に従って保護されます。使用状況のメトリックおよびNetWitness Suiteホストの現在のバージョンを含むお客様の使用状況データが、システムをインターネットに接続すると自動的にRSAと共有されます。
データがRSAに送信される前に、すべての個人情報が削除されます。したがって、匿名の使用状況データのみRSAに転送されます。
詳細については、「システム構成ガイド」の「Liveフィードバックの概要」トピックを参照してください。
RSA Live Connect
RSA Live Connectはクラウド ベースの脅威インテリジェンス サービスです。このサービスは、RSA NetWitness SuiteおよびRSA ECATカスタマー コミュニティを含むさまざまなソースから、IPアドレスやドメイン、ファイルなどの脅威インテリジェンス データを収集して分析し、評価します。RSA Live Connectは次の機能で構成されています。
- Threat Insights
- Analyst Behaviors
Threat Insights
Threat Insightsにより、アナリストは、調査プロセスで役立つIP関連情報などの脅威インテリジェンス データをLive Connectサービスから取り込むことができます。
デフォルトでは、Threat Insightsは[付加的なLiveサービス]セクションで有効化されています。Context Hubサービスが構成されている場合、Live ConnectはContext Hubのデータ ソースとして自動的に追加されます。詳細については、「Context Hub構成ガイド」の「Context Hubのデータ ソースとしてのLive Connectの構成」トピックを参照してください。
Context Hubのデータ ソースとしてLive Connectを使用すると、[Investigation]>[ナビゲート]ビューまたは[Investigation]>[イベント]ビューの[コンテキスト ルックアップ]オプションを使用してコンテキスト情報をフェッチできます。手順については、「データ ポイントの追加のコンテキストの表示」を参照してください。
Analyst Behaviors
Analyst Behaviorsは、アナリストがRSAコミュニティへのデータの共有に参加する機能です。これは、自動化されたデータ コレクション サービスです。潜在する脅威インテリジェンス データを、解析用にRSA Live Connectクラウド サービスと共有することを目的としています。お客様のネットワークからRSA Live Connectに送信される可能性のあるデータには、ip.src、ip.dst、ip.addr、device.ip、alias.ip、alias.host、paddr、sessionid、domain.dst、domain.srcなど、NetWitness Suite製品が収集するさまざまなタイプのメタ データが含まれます。
注:ローカルで収集されたすべてのデータはID情報の削除と難読化を行い、RSA Live Connectクラウド サービスに安全にかつ匿名で送信され、安全な環境に格納されます。
説明
Live Connect脅威データ共有は、コミュニティ ベースの脅威インテリジェンス共有プラットフォームとして開発されました。
その特徴と目的は以下のとおりです。
- クラウド ソース:RSAコミュニティ全体でインテリジェンスの収集に寄与します
- RSAコミュニティから一元的にデータを収集し、分析します
- インテリジェンス サイクルを数日から数分に短縮します
考慮する事項:
- アナリストの調査アクティビティを活用しています
- IPアドレスやドメイン名などのメタ データを収集しています
- 複雑なデータ分析を行っています:トレンド分析、相関、異常の検出
- この機能は、現在ベータ版です。
参加
お客様の参加は任意です。初期インストール時、またはNetWitness Suite 11.0へのアップグレード時に、確認画面が表示されます。デフォルトでは、参加する設定になっていますが、任意の時点で脱退できます。
クラウド認証
プログラムの認証はNetWitness Suiteユーザ インタフェースで行います。[Liveサービス]セクションでLiveアカウントを構成します。
構成
Live Connect脅威データ共有の設定を確認または変更するには、メイン メニューで、[管理]>[システム]>[Liveサービス]を選択します。プログラムに参加するか、参加をやめるには、[有効化]ボックスをオンまたはオフにします。
データ収集
データは次のように収集されます。
- データ属性:匿名化
- データ ソース:NetWitness Suiteコアのクエリにより、NetWitness Suiteアナリストが表示したメタ キーとメタ値のサブセットを収集します。
-
クエリ ログ収集プロセス:
- タイミング:24 時間ごとのバッチ(UTCの午前4時~午前6時)
- ログ収集:NetWitness Suiteサーバは、過去24時間のNetWitness Suiteコア デバイスのログ エントリーを収集します
- ログ エントリー:Where句を含むSDK-Value/SDK-Query API呼び出しのみが収集されます。
- ログ属性の解析:各エントリーには、次のいずれかのメタ キー インジケータが存在する必要があります:ip.src、ip.dst、ip.addr、device.ip、alias.ip、alias.host、paddr、sessionid、domain.dst、domain.src。これらが含まれる場合、エントリーからメタ キーとメタ値が収集されます。
注:上記の条件が満たされている場合、NetWitness Suiteはメタ キー インジケータだけでなく、クエリのすべてのメタ キーと値をクラウドに送信します。
ログ レポートは、JSON形式でSSL経由で送信されます。以下の項目が記載されています。
- タイムスタンプ
- Live CMSユーザ名(sha256)
- NetWitness Suiteライセンス サーバID(sha256)
- SAエンドポイントIDのリスト(sha256)
- 収集されたメタ値(MD5、SHA256ハッシュ)
例
このセクションでは、ログ エントリーと、それに対応する送信データを示します。
ログ ファイルのセクション:
User admin (session 204298, 10.4.50.60:57454) has issued values (channel 205237) (thread 2332): fieldName=filter id1=1 id2=23138902 threshold=100000 size=20 flags=sessions,sort-total,order-descending,ignore-cache where="(alias.host = 'mail.google.com') && (ip.src = 161.253.31.130) && time=\"2015-12-07 18:08:00\"-\"2015-12-07 21:07:59\"“
送信データ(ハッシュ付き):
トラブルシューティング
このセクションでは、Live Connect脅威データ収集のトラブルシューティングについて概要を説明します。
クエリ ログ取得の例
Live Connectに送信される脅威インテリジェンス データのサンプルを取得するには、URLに次のパラメータを指定してアクセスします。
- sendReport:値はtrueまたはfalse:このレポートをLive Connectサーバに送信する場合はtrueです。レポートを表示するだけの場合はfalseです。デフォルト値はfalseです。
- hashValues:値はtrueまたはfalse:md5/sha256で値をハッシュする場合はtrueです。平文で値を表示する場合はfalseです。falseは手動でレポートを表示する場合にのみ指定してください。デフォルトはfalseです。
- startDate/endDate:ログ エントリーの時間範囲の日付。形式:YYYY-MM-DD HH:mm:ss
クエリ ログを取得するURLの例を次に示します。
https://<server>/admin/liveconnect/force_aggregation?startDate=2016-01-18%2000:00:00&endDate=2016-01-19%2010:10:00&sendReport=false&hashValues=true
システム ログ:デバッグ
次の手順を実行し、デバッグ情報を表示できます。
- [管理]>[システム]>[システム ログ]を選択します。
- [設定]タブを選択します。
- [パッケージ構成]セクションで、[com]>[netwitness]>[platform]>[server]>[liveconnect]>[service (DEBUG)]を選択します。