NW:NetWitness Platformの概要

Document created by RSA Information Design and Development on Apr 20, 2018Last modified by RSA Information Design and Development on Jun 28, 2019
Version 6Show Document
  • View in full screen mode
 

概要

RSA NetWitness® Platformは強力な脅威検出スイートです。NetWitness Platformにより、SOC(セキュリティ オペレーション センター)は脅威の特定、優先順位付け、トリアージを迅速に行うことができます。NetWitness Platformは既知の脅威だけでなく、未知の脅威も特定し、改善に役立ちます。パケット、ログ、エンドポイントを洞察し、企業やビジネスに対する比類のない見通しを得ることができます。

NetWitness Platformは、強力な機能を提供すると同時に、疑わしい脅威を識別し、優先度付けするプロセスを自動化することにより、Tier 1アナリストの使いやすさも向上しています。Tier 2とTier 3のアナリストは、イベントの検索とフィルタ、再構築および分析ツールを使用したイベントの調査により、脅威をハンティングし、特定できます。

アーキテクチャ

RSA NetWitness Platformは、分散型のモジュールで構成される柔軟性の高いシステム アーキテクチャを採用しています。このため、組織のニーズに応じてシステムを柔軟に拡張することが可能です。管理者は、NetWitness Platformを使用して、パケット データ、ログ データ、エンドポイント データの3種類のデータをネットワーク インフラストラクチャから収集することができます。このアーキテクチャの特徴を次に示します。

  • 分散データ収集Decoderはパケット データを収集し、Log Decoderはログ データを収集します。これらのDecoderは、レイヤー2~7から収集したすべてのネットワーク トラフィック、多数のデバイスとイベント ソースから収集したログとイベント データ、NetWitness Endpointデータ(インストールおよび構成されている場合)を解析および再構築します。Concentratorは、ネットワークまたはログ データから抽出したメタデータのインデックスを作成し、エンタープライズ環境全体にわたるクエリとリアルタイム分析で利用可能にします。また、レポート作成やアラート通知を容易に実行できるようにします。Brokerは、他のデバイスによって収集されたデータを集計します。Brokerは、構成されたConcentratorのデータを集計します。Concentratorは、Decoderからのデータを集計します。したがって、Brokerはインフラストラクチャ全体の各種のDecoder/Concentratorに保持された複数のリアルタイム データストアを中継する役割を担います。

  • リアルタイム アラート。NetWitness PlatformのESA(Event Stream Analysis)サービスは、相関イベントや複雑なイベント処理などの高度なストリーム解析を高スループットかつ低遅延で提供します。ESAでは、Concentratorからの大量の雑多なイベント データを処理することができます。アナリストは、ESAの先進的なEPL(イベント処理言語)によって、いくつもの異なるイベント ストリームを対象に、フィルタリング、集計、結合、パターン認識、相関を設定することができます。Event Stream Analysisによって、強力なインシデント検出やアラート通知を実装することができます。

  • リアルタイム分析(イベントの自動分析)。RSA自動脅威検出機能には、コマンド&コントロール トラフィックを検出するための事前構成済みのESA Analyticsモジュールが含まれています。

  • NetWitness Server。NetWitness Serverは、レポート、調査、管理、その他のユーザ インタフェースを提供します。

  • キャパシティ。NetWitness Platformは、DAC(直接接続)またはSAN(Storage Area Network)接続を使用するモジュール型のアーキテクチャを採用し、短期間の調査、長期間の分析、およびデータ保管など、それぞれのニーズに応じた構成が可能です。

NetWitness Platformの導入は非常に柔軟です。お客様のパフォーマンスとセキュリティに関する個別の要件に基づいて、1台から数十台までの物理ホストを使用してアーキテクチャを設計できます。また、NetWitness Platformは、仮想化インフラストラクチャで動作することも可能です。

システム アーキテクチャの主要コンポーネントには、Decoder、Broker、Concentrator、Archiver、ESA、Warehouse Connectorが含まれます。これらのNetWitness Platformコンポーネントは、組み合わせて1つのシステムとして構成することも、個別のシステムとして構成することもできます。

  • SIEM(セキュリティ情報およびイベント管理)実装では、基本構成として次のコンポーネントが必要です:Log Decoder、Concentrator、Broker、ESA(Event Stream Analysis)、NetWitness Server
  • フォレンジック実装では、基本構成として次のコンポーネントが必要です:Decoder、Concentrator、Broker、ESA、Malware Analysis、およびEndpoint Log Hybrid。加えて、Respond Serverサービスも必要です。このサービスはアラートに優先度を設定します。

各主要コンポーネントについて、次の表で簡単に説明します。

                                                  
システム コンポーネント説明
Decoder/Log Decoder
  • NetWitness Platformは、パケット、ログ、エンドポイント データを収集します。 
  • パケット データ(ネットワーク パケット)は、ネットワーク タップまたはスパン ポートを介し、Decoderを使用して収集されます。Decoderは一般的に組織のネットワークの出口となるポイントに設置されます。 
  • Log Decoderは、Syslog、ODBC、Windowsイベント、フラット ファイルの4種類のログを収集できます。
  • Windowsイベントは、Windows 2008の収集方式でイベント ログを収集し、フラット ファイルのログはSFTPにより収集します。 
  • どちらのタイプのDecoderも、rawデータを取り込みます。取り込まれたデータは、エンリッチメントや終了処理を経て、NetWitness Platformの他のコンポーネントで集計されます。
  • データ収集と解析のプロセスは、動的かつオープンなフレームワークで構成されています。
Endpoint Log Hybrid
  • Windows、Mac、またはLinux ホストからエンドポイント(ホスト)データを収集して管理します。
  • プロセス、ファイル、レジストリの変更、ネットワーク接続、ユーザ コンソールの対話式操作など、すべての重要なアクションのデータを記録します。
  • 構成により、Windowsホストからログを収集します。
  • メタデータを生成して、ログやネットワークなどの他のイベント ソースからのセッションにエンドポイント データを関連づけます。
  • ライブ メモリ分析、ネットワーク トラフィック分析、および不審なユーザ行動の検出を実行します。
Concentrator
  • NetWitnessの収集データにインデックスを作成し、クエリの機能を提供します。 
  • オプションでESAにデータを転送できます。

Broker

  • 多くのConcentratorまたはArchiverに分散したNetWitnessの収集データへのアクセスを一元化し、NetWitness Platform全体で単一の収集データのようにアクセスできるようにします。
Archiver
  • Archiverサービスは、ログ データのインデックス作成と圧縮を行い、それらのデータをアーカイブ ストレージに送信することによって、長期間にわたるログのアーカイブを可能にします。 
  • アーカイブ ストレージは、データの長期保存およびコンプライアンス レポート作成のために利用できます。 
  • Archiverは、ストレージとしてDAC(直接接続機能)を使用し、Log Decoderからのrawログとログ メタ データを長期保存します。

    注:rawパケットやパケットのメタ データは、Archiverに保存されません。

ESA(Event Stream Analysis)
  • Event Stream Analysisサービスは、相関イベントや複雑なイベント処理などのイベント ストリーム解析を高スループットかつ低遅延で提供します。ESAでは、Concentratorからの大量の雑多なイベント データを処理することができます。
  • ESAの先進的なイベント処理言語によって、いくつもの異なるイベント ストリームを対象に、フィルタリング、集計、結合、パターン認識、相関を設定することができます。 
  • ESAによって、強力なインシデント検出やアラート通知を実現することができます。
  • RSA自動脅威検出機能には、コマンド&コントロール トラフィックを検出するための事前構成済みのESA Analyticsモジュールが含まれています。

コア コンポーネントとダウンストリーム コンポーネント

NetWitness Platformのコア サービスは、データの収集と解析、メタデータの生成、生成されたメタデータとRAWデータの集計を行います。コア サービスには、Decoder、Log Decoder、Concentrator、Brokerがあります。ダウンストリーム システムは、コア サービスに格納されているデータを使用して分析を行います。したがって、ダウンストリーム サービスの動作はコア サービスに依存します。ダウンストリーム システムには、Archiver、ESA、Malware Analysis、Investigate、Reportingがあります。 

コア サービスは、ダウンストリーム システムなしでも動作し、優れた分析ソリューションを提供できますが、ダウンストリーム コンポーネントによって分析機能を強化できます。ESAは、セッション間およびイベント間だけでなく、ログ、パケット データ、エンドポイント データなどの異なるタイプのイベントに対してリアルタイムに相関を分析することができます。Investigateを使用すると、データにドリルダウンして、イベントおよびファイルを調査し、安全な環境でイベントを再構築できます。Malware Analysisサービスでは、ネットワーク セッションおよび関連ファイルに含まれる悪質なアクティビティをリアルタイムかつ自動的に調査します。

You are here
Table of Contents > NetWitness Platformの概要

Attachments

    Outcomes