NW:NetWitness Platformの概要

Document created by RSA Information Design and Development on Apr 20, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 5Show Document
  • View in full screen mode
 

概要

RSA NetWitness® Platformは強力な脅威検出スイートであり、SOC(セキュリティ オペレーション センター)はNetWitness Platformにより脅威の特定、優先順位付け、トリアージを迅速に行うことができます。NetWitness Platformは既知の脅威だけでなく、未知の脅威も特定し、改善に役立ちます。パケット、ログ、エンドポイントを洞察し、企業やビジネスに対して比類のない見通しを得ることができます。

NetWitness Platformは、これまで以上に強力になると同時に、疑わしい脅威を識別し、優先度付けするプロセスが自動化されることで、Tier 1のアナリストにとっての使いやすさが向上しています。Tier 2とTier 3のアナリストは、イベントを検索してフィルタし、再構築および分析ツールを使用してイベントを調査することで、脅威を探し、特定できます。

アーキテクチャ

RSA NetWitness Platformは、分散型のモジュールで構成される柔軟性の高いシステム アーキテクチャを採用しています。このため、組織のニーズに応じてシステムを柔軟に拡張することが可能です。管理者は、NetWitness Platformを使用して、パケット データ、ログ データ、エンドポイント データの3種類のデータをネットワーク インフラストラクチャから収集することができます。NetWitness Endpoint 4.4、4.4.0.0またはそれ以降がインストールおよび構成されている場合は、エンドポイント イベント データも収集されます。このアーキテクチャの特徴を次に示します。

  • 分散データ収集Decoderはパケット データを取得し、Log Decoderはログ データを取得します。これらのDecoderは、レイヤー2~7から収集したすべてのネットワーク トラフィック、または、多数のデバイスとイベント ソースのログとイベント データ、NetWitness Endpointデータ(インストールおよび構成されている場合)を解析および再構築します。Concentratorは、ネットワークまたはログ データから抽出したメタデータのインデックスを作成し、エンタープライズ環境全体にわたるクエリとリアルタイム分析で利用可能にします。また、レポート作成やアラート通知を容易に実行できるようにします。Brokerは、他のデバイスによって収集されたデータを集計します。Brokerは、構成されたConcentratorのデータを集計します。Concentratorは、Decoderからのデータを集計します。したがって、Brokerはインフラストラクチャ全体の各種のDecoder/Concentratorに保持された複数のリアルタイム データストアを中継する役割を担います。

  • リアルタイム アラート。NetWitness Platform ESA(Event Stream Analysis)サービスは、相関イベントや複雑なイベント処理など、詳細なストリーム解析を高スループットかつ低レイテンシで提供します。ESAでは、Concentratorからの大量の雑多なイベント データを処理することができます。アナリストは、ESAの先進的なEPL(イベント処理言語)によって、いくつもの異なるイベント ストリームを対象に、フィルタリング、集計、結合、パターン認識、相関を設定することができます。Event Stream Analysisによって、強力なインシデント検出やアラート通知を実装することができます。

  • リアルタイム分析(イベントの自動分析)。RSA自動脅威検出機能には、コマンド&コントロール トラフィックを検出するための事前構成済みのESA Analyticsモジュールが含まれています。

  • NetWitness Server。NetWitness Serverは、レポート、調査、管理、その他のユーザ インタフェースを提供します。

  • キャパシティ。NetWitness Platformは、DAC(直接接続)またはSAN(Storage Area Network)接続を使用したモジュール型のアーキテクチャで構成され、短期間の調査、長期間の分析、およびデータ保持のそれぞれのニーズに対応します。

NetWitness Platformは導入に高い柔軟性をもたらします。お客様のパフォーマンスとセキュリティに関する個別の要件に基づいて、1台から数十台までの物理ホストを使用してアーキテクチャを設計できます。また、NetWitness Platformは、仮想化インフラストラクチャ上で動作することも可能です。

システム アーキテクチャには、主要コンポーネントとして Decoder、Broker、Concentrator、Archiver、ESA、Warehouse Connectorが含まれます。これらのNetWitness Platformコンポーネントは、1つのシステムとして使用することも、個別のシステムとして使用することもできます。

  • SIEM(セキュリティ情報およびイベント管理)実装では、基本構成として次のコンポーネントが必要です:Log Decoder、Concentrator、Broker、ESA(Event Stream Analysis)、NetWitness Server。
  • フォレンジック実装では、基本構成として次のコンポーネントが必要です:Decoder、Concentrator、Broker、ESA、Malware Analysis、およびEndpoint HybridまたはEndpoint Log Hybrid。Response-Serverサービスも必要です。このサービスはアラートの優先度付けに使用されます。

それぞれの主要コンポーネントについて、次の表で簡単に説明します。

                                                  
システム コンポーネント説明
Decoder/Log Decoder
  • NetWitness Platformは、パケット、ログ、エンドポイント データを収集します。 
  • パケット データ(ネットワーク パケット)は、ネットワーク タップまたはスパン ポートを介し、Decoderを使用して収集されます。Decoderは一般的に組織のネットワークの出口となるポイントに設置されます。 
  • Log Decoderは、Syslog、ODBC、Windowsイベント、フラット ファイルの4種類のログを収集できます。
  • Windowsイベントは、Windows 2008の収集方式でイベント ログを収集し、フラット ファイルのログはSFTPにより収集します。 
  • どちらのタイプのDecoderも、rawデータを取り込みます。取り込まれたデータは、エンリッチメントや終了処理を経て、NetWitness Platformの他のコンポーネントで集計されます。
  • データ収集と解析のプロセスは、動的かつオープンなフレームワークで構成されています。
Endpoint HybridまたはEndpoint Log Hybrid
  • ホストからエンドポイント データを収集して管理します。

  • 調査、分析、アラート、レポートのためのメタデータを生成します。
  • Windowsホスト、および、NetWitness Platformがログ収集をサポートするその他すべてのイベント ソースからログを収集します。
Concentrator
  • NetWitnessの収集データにインデックスを作成し、クエリの機能を提供します。 
  • オプションでESAにデータを転送できます。

Broker

  • 多くのConcentratorまたはArchiverに分散したNetWitnessの収集データへのアクセスを集約し、NetWitness Platform全体で単一の収集データのようにアクセスできるようにします。
Archiver
  • Archiverサービスは、ログ データのインデックス作成と圧縮を行い、それらのデータをアーカイブ ストレージに送信することによって、長期間にわたるログのアーカイブを可能にします。 
  • アーカイブ ストレージは、データの長期保存およびコンプライアンス レポート作成のために利用できます。 
  • Archiverは、ストレージとしてDAC(直接接続機能)を使用し、Log Decoderからのrawログとログ メタ データを長期保存のために格納します。

    注:rawパケットやパケットのメタ データは、Archiverに格納されません。

ESA(Event Stream Analysis)
  • Event Stream Analysisサービスは、相関イベントや複雑なイベント処理などのイベント ストリーム解析を高スループットかつ低レイテンシで提供します。ESAでは、Concentratorからの大量の雑多なイベント データを処理することができます。
  • ESAの先進的なイベント処理言語によって、いくつもの異なるイベント ストリームを対象に、フィルタリング、集計、結合、パターン認識、相関を設定することができます。 
  • ESAによって、強力なインシデント検出やアラート通知を実現することができます。
  • RSA自動脅威検出機能には、コマンド&コントロール トラフィックを検出するための事前構成済みのESA Analyticsモジュールが含まれています。

コア コンポーネントとダウンストリーム コンポーネント

NetWitness Platformのコア サービスは、データの取得と解析、メタデータの生成、生成されたメタデータとrawデータの集計を行います。コア サービスには、Decoder、Log Decoder、Concentrator、Brokerがあります。ダウンストリーム システムは、コア サービスに格納されているデータを使用して分析を行います。したがって、ダウンストリーム サービスの動作はコア サービスに依存します。ダウンストリーム システムは、Archiver、ESA、Malware Analysis、Investigate、Reportingです。 

コア サービスは、ダウンストリーム システムなしでも動作し、優れた分析ソリューションを提供できますが、ダウンストリーム コンポーネントによって分析機能を強化できます。ESAは、セッション間およびイベント間だけでなく、ログ、パケット データ、エンドポイント データなどの異なるタイプのイベントに対してリアルタイムに相関を分析することができます。Investigateを使用すると、データにドリルダウンして、イベントおよびファイルを調査し、安全な環境でイベントを再構築できます。Malware Analysisサービスでは、ネットワーク セッションおよび関連ファイルに含まれる悪質なアクティビティをリアルタイムかつ自動的に調査します。

You are here
Table of Contents > NetWitness Platformの概要

Attachments

    Outcomes