Live:Security Analyticsのフィードバックとデータ共有

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

このトピックでは、NetWitness Suiteのフィードバックとデータ共有機能について説明します。

これらの機能は、[管理]>[システム]>[Liveサービス]ビューの[付加的なLiveサービス]セクションで設定できます。

付加的なLiveサービス

付加的なLiveサービスへの参加は、[管理]>[システム]>[Liveサービス]ビューで構成されます。


Liveフィードバック

Liveフィードバックは、RSA NetWitness Suiteの向上のために使用されます。

Liveアカウントを設定および構成すると、使用状況データがRSAと共有されます。データは規定のライセンス契約に従って保護されます。使用状況のメトリックおよびNetWitness Suiteホストの現在のバージョンを含むお客様の使用状況データが、システムをインターネットに接続すると自動的にRSAと共有されます。

データがRSAに送信される前に、すべての個人情報が削除されます。したがって、匿名の使用状況データのみRSAに転送されます。

詳細については、「システム構成ガイド」の「Liveフィードバックの概要」トピックを参照してください。

RSA Live Connect

RSA Live Connectはクラウド ベースの脅威インテリジェンス サービスです。このサービスは、RSA NetWitness SuiteおよびRSA ECATカスタマー コミュニティを含むさまざまなソースから、IPアドレスやドメイン、ファイルなどの脅威インテリジェンス データを収集して分析し、評価します。RSA Live Connectは次の機能で構成されています。

  • Threat Insights
  • Analyst Behaviors

Threat Insights

Threat Insightsにより、アナリストは、調査プロセスで役立つIP関連情報などの脅威インテリジェンス データをLive Connectサービスから取り込むことができます。

デフォルトでは、Threat Insightsは[付加的なLiveサービス]セクションで有効化されています。Context Hubサービスが構成されている場合、Live ConnectはContext Hubのデータ ソースとして自動的に追加されます。詳細については、「Context Hub構成ガイド」の「Context Hubのデータ ソースとしてのLive Connectの構成」トピックを参照してください。

Context Hubのデータ ソースとしてLive Connectを使用すると、[Investigation]>[ナビゲート]ビューまたは[Investigation]>[イベント]ビューの[コンテキスト ルックアップ]オプションを使用してコンテキスト情報をフェッチできます。手順については、「データ ポイントの追加のコンテキストの表示」を参照してください。

Analyst Behaviors

Analyst Behaviorsは、アナリストがRSAコミュニティへのデータの共有に参加する機能です。これは、自動化されたデータ コレクション サービスです。潜在する脅威インテリジェンス データを、解析用にRSA Live Connectクラウド サービスと共有することを目的としています。お客様のネットワークからRSA Live Connectに送信される可能性のあるデータには、ip.src、ip.dst、ip.addr、device.ip、alias.ip、alias.host、paddr、sessionid、domain.dst、domain.srcなど、NetWitness Suite製品が収集するさまざまなタイプのメタ データが含まれます。

注:ローカルで収集されたすべてのデータはID情報の削除と難読化を行い、RSA Live Connectクラウド サービスに安全にかつ匿名で送信され、安全な環境に格納されます。

説明

Live Connect脅威データ共有は、コミュニティ ベースの脅威インテリジェンス共有プラットフォームとして開発されました。

その特徴と目的は以下のとおりです。

  • クラウド ソース:RSAコミュニティ全体でインテリジェンスの収集に寄与します
  • RSAコミュニティから一元的にデータを収集し、分析します
  • インテリジェンス サイクルを数日から数分に短縮します

考慮する事項:

  • アナリストの調査アクティビティを活用しています
  • IPアドレスやドメイン名などのメタ データを収集しています
  • 複雑なデータ分析を行っています:トレンド分析、相関、異常の検出
  • この機能は、現在ベータ版です。

参加

お客様の参加は任意です。初期インストール時、またはNetWitness Suite 11.0へのアップグレード時に、確認画面が表示されます。デフォルトでは、参加する設定になっていますが、任意の時点で脱退できます。

クラウド認証

プログラムの認証はNetWitness Suiteユーザ インタフェースで行います。[Liveサービス]セクションでLiveアカウントを構成します。

構成

Live Connect脅威データ共有の設定を確認または変更するには、メイン メニューで、[管理]>[システム]>[Liveサービス]を選択します。プログラムに参加するか、参加をやめるには、[有効化]ボックスをオンまたはオフにします。

データ収集

データは次のように収集されます。

  • データ属性:匿名化
  • データ ソース:NetWitness Suiteコアのクエリにより、NetWitness Suiteアナリストが表示したメタ キーとメタ値のサブセットを収集します。

  • クエリ ログ収集プロセス:

    • タイミング:24 時間ごとのバッチ(UTCの午前4時~午前6時)
    • ログ収集:NetWitness Suiteサーバは、過去24時間のNetWitness Suiteコア デバイスのログ エントリーを収集します
    • ログ エントリー:Where句を含むSDK-Value/SDK-Query API呼び出しのみが収集されます。
    • ログ属性の解析:各エントリーには、次のいずれかのメタ キー インジケータが存在する必要があります:ip.srcip.dstip.addrdevice.ipalias.ipalias.hostpaddrsessioniddomain.dstdomain.src。これらが含まれる場合、エントリーからメタ キーとメタ値が収集されます。

    注:上記の条件が満たされている場合、NetWitness Suiteはメタ キー インジケータだけでなく、クエリのすべてのメタ キーと値をクラウドに送信します。

ログ レポートは、JSON形式でSSL経由で送信されます。以下の項目が記載されています。

  • タイムスタンプ
  • Live CMSユーザ名(sha256)
  • NetWitness Suiteライセンス サーバID(sha256)
  • SAエンドポイントIDのリスト(sha256)
  • 収集されたメタ値(MD5、SHA256ハッシュ)

このセクションでは、ログ エントリーと、それに対応する送信データを示します。

ログ ファイルのセクション:

User admin (session 204298, 10.4.50.60:57454) has issued values (channel 205237) (thread 2332): fieldName=filter id1=1 id2=23138902 threshold=100000 size=20 flags=sessions,sort-total,order-descending,ignore-cache where="(alias.host = 'mail.google.com') && (ip.src = 161.253.31.130) && time=\"2015-12-07 18:08:00\"-\"2015-12-07 21:07:59\"“

送信データ(ハッシュ付き):

トラブルシューティング

このセクションでは、Live Connect脅威データ収集のトラブルシューティングについて概要を説明します。

クエリ ログ取得の例

Live Connectに送信される脅威インテリジェンス データのサンプルを取得するには、URLに次のパラメータを指定してアクセスします。

  • sendReport:値はtrueまたはfalse:このレポートをLive Connectサーバに送信する場合はtrueです。レポートを表示するだけの場合はfalseです。デフォルト値はfalseです。
  • hashValues:値はtrueまたはfalse:md5/sha256で値をハッシュする場合はtrueです。平文で値を表示する場合はfalseです。falseは手動でレポートを表示する場合にのみ指定してください。デフォルトはfalseです。
  • startDate/endDate:ログ エントリーの時間範囲の日付。形式:YYYY-MM-DD HH:mm:ss

クエリ ログを取得するURLの例を次に示します。

https://<server>/admin/liveconnect/force_aggregation?startDate=2016-01-18%2000:00:00&endDate=2016-01-19%2010:10:00&sendReport=false&hashValues=true

システム ログ:デバッグ

次の手順を実行し、デバッグ情報を表示できます。

  1. [管理]>[システム]>[システム ログ]を選択します。
  2. 設定]タブを選択します。
  3. [パッケージ構成]セクションで、[com]>[netwitness]>[platform]>[server]>[liveconnect]>[service (DEBUG)]を選択します。

You are here
Table of Contents > 参考情報 > Netwitnessのフィードバックとデータ共有

Attachments

    Outcomes