概要
RSA NetWitness Suiteは強力な脅威検出スイートであり、SOC(セキュリティ オペレーション センター)が脅威を迅速に特定し、優先度を設定し、対応を選別できるようにします。NetWitness Suiteは、既知の脅威だけでなく、これまで知られていなかった脅威を分離および改善するために役立ちます。パケット、ログ、エンドポイントを洞察し、企業やビジネスに対して比類のない見通しを得ることができます。
NetWitness Suiteは、これまで以上に強力になると同時に、疑わしい脅威を識別し、優先度付けするプロセスが自動化されることで、Tier 1のアナリストにとっての使いやすさが向上しています。NetWitness Suiteでは、さらに、Tier 2とTier 3のアナリストは、新しい分析ツールを、NetWitness Suiteの以前のリリースで使用可能なメタデータとrawデータのビューとともに使用して、脅威を探索、特定できます。
アーキテクチャ
RSA NetWitness Suiteは、分散型のモジュールで構成される柔軟性の高いシステム アーキテクチャを採用しています。このため、組織のニーズに応じてシステムを柔軟に拡張することが可能です。管理者は、NetWitness Suiteを使用して、パケット データ、ログ データ、エンドポイント データの3種類のデータをネットワーク インフラストラクチャから収集することができます。NetWitness Endpoint 4.4、4.4.0.0またはそれ以降がインストールおよび構成されている場合は、エンドポイント イベント データも収集されます。このアーキテクチャの特徴を次に示します。
-
分散データ収集。Decoderはパケット データを取得し、Log Decoderはログ データを取得します。これらのDecoderは、レイヤー2~7から収集したすべてのネットワーク トラフィック、または、多数のデバイスとイベント ソースのログとイベント データ、NetWitness Endpointデータ(インストールおよび構成されている場合)を解析および再構築します。Concentratorは、ネットワーク トラフィックまたはログ データから抽出したメタデータのインデックスを作成し、エンタープライズ環境全体にわたるクエリとリアルタイム分析で利用可能にします。また、レポート作成やアラート通知を容易に実行できるようにします。Brokerは、他のデバイスによって収集されたデータを集計します。Brokerは、構成されたConcentratorのデータを集計します。Concentratorは、Decoderからのデータを集計します。したがって、Brokerはインフラストラクチャ全体の各種のDecoder/Concentratorに保持された複数のリアルタイム データストアを中継する役割を担います。
-
リアルタイム アラート。NetWitness Suite ESA(Event Stream Analysis)サービスは、相関イベントや複雑なイベント処理など、詳細なストリーム解析を高スループットかつ低レイテンシで提供します。ESAでは、Concentratorからの大量の雑多なイベント データを処理することができます。アナリストは、ESAの先進的なEPL(イベント処理言語)によって、いくつもの異なるイベント ストリームを対象に、フィルタリング、集計、結合、パターン認識、相関を設定することができます。Event Stream Analysisによって、強力なインシデント検出やアラート通知を実装することができます。
-
リアルタイム分析(イベントの自動分析)。RSA自動脅威検出機能には、コマンド&コントロール トラフィックを検出するための事前構成済みのESA Analyticsモジュールが含まれています。
-
NetWitness Server。NetWitness Serverは、レポート、調査、管理、その他のユーザ インタフェースを提供します。
-
キャパシティ。NetWitness Suiteのキャパシティ(外部ストレージ)は、直接接続(DAC)またはSAN(ストレージ エリア ネットワーク)接続を使用したモジュール型のアーキテクチャで構成され、短期間の調査、長期間の分析、およびデータ保存のそれぞれのニーズに対応します。
NetWitness Suiteの導入は非常に柔軟です。お客様のパフォーマンスとセキュリティに関する個別の要件に基づいて、1台から数十台までの物理ホストを使用してアーキテクチャを設計できます。また、NetWitness Suiteは、仮想化インフラストラクチャ上で動作することも可能です。
システム アーキテクチャには、主要コンポーネントとして Decoder、Broker、Concentrator、Archiver、ESA、Warehouse Connectorが含まれます。これらのNetWitness Suiteコンポーネントは、1つのシステムとして使用することも、個別のシステムとして使用することもできます。
- SIEM(セキュリティ情報およびイベント管理)実装では、基本構成として次のコンポーネントが必要です:Log Decoder、Concentrator、Broker、ESA(Event Stream Analysis)、NetWitness Server。
- フォレンジック実装では、基本構成として次のコンポーネントが必要です:Decoder、Concentrator、Broker、ESA、Malware Analysis、およびEndpoint HybridまたはEndpoint Log Hybrid。Response-Serverサービスも必要です。このサービスはアラートの優先度付けに使用されます。
それぞれの主要コンポーネントについて、次の表で簡単に説明します。
コア コンポーネントとダウンストリーム コンポーネント
NetWitness Suiteのコア サービスは、データの取得と解析、メタデータの生成、生成されたメタデータとrawデータの集計を行います。コア サービスには、Decoder、Log Decoder、Concentrator、Brokerがあります。ダウンストリーム システムは、コア サービスに格納されているデータを使用して分析を行います。したがって、ダウンストリーム サービスの動作はコア サービスに依存します。ダウンストリーム システムは、Archiver、ESA、Malware Analysis、Investigate、Reportingです。
コア サービスは、ダウンストリーム システムなしでも動作し、優れた分析ソリューションを提供できますが、ダウンストリーム コンポーネントによって分析機能を強化できます。ESAは、セッション間およびイベント間だけでなく、ログ、パケット データ、エンドポイント データなどの異なるタイプのイベントに対してリアルタイムに相関を分析することができます。Investigateを使用すると、データにドリルダウンして、イベントおよびファイルを調査し、安全な環境でイベントを再構築できます。Malware Analysisサービスでは、ネットワーク セッションおよび関連ファイルに含まれる悪質なアクティビティをリアルタイムかつ自動的に調査します。