概要
RSA NetWitness® Platformは強力な脅威検出スイートであり、SOC(セキュリティ オペレーション センター)はNetWitness Platformにより脅威の特定、優先順位付け、トリアージを迅速に行うことができます。NetWitness Platformは既知の脅威だけでなく、未知の脅威も特定し、改善に役立ちます。パケット、ログ、エンドポイントを洞察し、企業やビジネスに対して比類のない見通しを得ることができます。
NetWitness Platformは、これまで以上に強力になると同時に、疑わしい脅威を識別し、優先度付けするプロセスが自動化されることで、Tier 1のアナリストにとっての使いやすさが向上しています。Tier 2とTier 3のアナリストは、イベントを検索してフィルタし、再構築および分析ツールを使用してイベントを調査することで、脅威を探し、特定できます。
アーキテクチャ
RSA NetWitness Platformは、分散型のモジュールで構成される柔軟性の高いシステム アーキテクチャを採用しています。このため、組織のニーズに応じてシステムを柔軟に拡張することが可能です。管理者は、NetWitness Platformを使用して、パケット データ、ログ データ、エンドポイント データの3種類のデータをネットワーク インフラストラクチャから収集することができます。NetWitness Endpoint 4.4、4.4.0.0またはそれ以降がインストールおよび構成されている場合は、エンドポイント イベント データも収集されます。このアーキテクチャの特徴を次に示します。
-
分散データ収集。Decoderはパケット データを取得し、Log Decoderはログ データを取得します。これらのDecoderは、レイヤー2~7から収集したすべてのネットワーク トラフィック、または、多数のデバイスとイベント ソースのログとイベント データ、NetWitness Endpointデータ(インストールおよび構成されている場合)を解析および再構築します。Concentratorは、ネットワークまたはログ データから抽出したメタデータのインデックスを作成し、エンタープライズ環境全体にわたるクエリとリアルタイム分析で利用可能にします。また、レポート作成やアラート通知を容易に実行できるようにします。Brokerは、他のデバイスによって収集されたデータを集計します。Brokerは、構成されたConcentratorのデータを集計します。Concentratorは、Decoderからのデータを集計します。したがって、Brokerはインフラストラクチャ全体の各種のDecoder/Concentratorに保持された複数のリアルタイム データストアを中継する役割を担います。
-
リアルタイム アラート。NetWitness Platform ESA(Event Stream Analysis)サービスは、相関イベントや複雑なイベント処理など、詳細なストリーム解析を高スループットかつ低レイテンシで提供します。ESAでは、Concentratorからの大量の雑多なイベント データを処理することができます。アナリストは、ESAの先進的なEPL(イベント処理言語)によって、いくつもの異なるイベント ストリームを対象に、フィルタリング、集計、結合、パターン認識、相関を設定することができます。Event Stream Analysisによって、強力なインシデント検出やアラート通知を実装することができます。
-
リアルタイム分析(イベントの自動分析)。RSA自動脅威検出機能には、コマンド&コントロール トラフィックを検出するための事前構成済みのESA Analyticsモジュールが含まれています。
-
NetWitness Server。NetWitness Serverは、レポート、調査、管理、その他のユーザ インタフェースを提供します。
-
キャパシティ。NetWitness Platformは、DAC(直接接続)またはSAN(Storage Area Network)接続を使用したモジュール型のアーキテクチャで構成され、短期間の調査、長期間の分析、およびデータ保持のそれぞれのニーズに対応します。
NetWitness Platformは導入に高い柔軟性をもたらします。お客様のパフォーマンスとセキュリティに関する個別の要件に基づいて、1台から数十台までの物理ホストを使用してアーキテクチャを設計できます。また、NetWitness Platformは、仮想化インフラストラクチャ上で動作することも可能です。
システム アーキテクチャには、主要コンポーネントとして Decoder、Broker、Concentrator、Archiver、ESA、Warehouse Connectorが含まれます。これらのNetWitness Platformコンポーネントは、1つのシステムとして使用することも、個別のシステムとして使用することもできます。
- SIEM(セキュリティ情報およびイベント管理)実装では、基本構成として次のコンポーネントが必要です:Log Decoder、Concentrator、Broker、ESA(Event Stream Analysis)、NetWitness Server。
- フォレンジック実装では、基本構成として次のコンポーネントが必要です:Decoder、Concentrator、Broker、ESA、Malware Analysis、およびEndpoint HybridまたはEndpoint Log Hybrid。Response-Serverサービスも必要です。このサービスはアラートの優先度付けに使用されます。
それぞれの主要コンポーネントについて、次の表で簡単に説明します。
コア コンポーネントとダウンストリーム コンポーネント
NetWitness Platformのコア サービスは、データの取得と解析、メタデータの生成、生成されたメタデータとrawデータの集計を行います。コア サービスには、Decoder、Log Decoder、Concentrator、Brokerがあります。ダウンストリーム システムは、コア サービスに格納されているデータを使用して分析を行います。したがって、ダウンストリーム サービスの動作はコア サービスに依存します。ダウンストリーム システムは、Archiver、ESA、Malware Analysis、Investigate、Reportingです。
コア サービスは、ダウンストリーム システムなしでも動作し、優れた分析ソリューションを提供できますが、ダウンストリーム コンポーネントによって分析機能を強化できます。ESAは、セッション間およびイベント間だけでなく、ログ、パケット データ、エンドポイント データなどの異なるタイプのイベントに対してリアルタイムに相関を分析することができます。Investigateを使用すると、データにドリルダウンして、イベントおよびファイルを調査し、安全な環境でイベントを再構築できます。Malware Analysisサービスでは、ネットワーク セッションおよび関連ファイルに含まれる悪質なアクティビティをリアルタイムかつ自動的に調査します。