概要
RSA NetWitness® Platformは強力な脅威検出スイートです。NetWitness Platformにより、SOC(セキュリティ オペレーション センター)は脅威の特定、優先順位付け、トリアージを迅速に行うことができます。NetWitness Platformは既知の脅威だけでなく、未知の脅威も特定し、改善に役立ちます。パケット、ログ、エンドポイントを洞察し、企業やビジネスに対する比類のない見通しを得ることができます。
NetWitness Platformは、強力な機能を提供すると同時に、疑わしい脅威を識別し、優先度付けするプロセスを自動化することにより、Tier 1アナリストの使いやすさも向上しています。Tier 2とTier 3のアナリストは、イベントの検索とフィルタ、再構築および分析ツールを使用したイベントの調査により、脅威をハンティングし、特定できます。
アーキテクチャ
RSA NetWitness Platformは、分散型のモジュールで構成される柔軟性の高いシステム アーキテクチャを採用しています。このため、組織のニーズに応じてシステムを柔軟に拡張することが可能です。管理者は、NetWitness Platformを使用して、パケット データ、ログ データ、エンドポイント データの3種類のデータをネットワーク インフラストラクチャから収集することができます。このアーキテクチャの特徴を次に示します。
-
分散データ収集。Decoderはパケット データを収集し、Log Decoderはログ データを収集します。これらのDecoderは、レイヤー2~7から収集したすべてのネットワーク トラフィック、多数のデバイスとイベント ソースから収集したログとイベント データ、NetWitness Endpointデータ(インストールおよび構成されている場合)を解析および再構築します。Concentratorは、ネットワークまたはログ データから抽出したメタデータのインデックスを作成し、エンタープライズ環境全体にわたるクエリとリアルタイム分析で利用可能にします。また、レポート作成やアラート通知を容易に実行できるようにします。Brokerは、他のデバイスによって収集されたデータを集計します。Brokerは、構成されたConcentratorのデータを集計します。Concentratorは、Decoderからのデータを集計します。したがって、Brokerはインフラストラクチャ全体の各種のDecoder/Concentratorに保持された複数のリアルタイム データストアを中継する役割を担います。
-
リアルタイム アラート。NetWitness PlatformのESA(Event Stream Analysis)サービスは、相関イベントや複雑なイベント処理などの高度なストリーム解析を高スループットかつ低遅延で提供します。ESAでは、Concentratorからの大量の雑多なイベント データを処理することができます。アナリストは、ESAの先進的なEPL(イベント処理言語)によって、いくつもの異なるイベント ストリームを対象に、フィルタリング、集計、結合、パターン認識、相関を設定することができます。Event Stream Analysisによって、強力なインシデント検出やアラート通知を実装することができます。
-
リアルタイム分析(イベントの自動分析)。RSA自動脅威検出機能には、コマンド&コントロール トラフィックを検出するための事前構成済みのESA Analyticsモジュールが含まれています。
-
NetWitness Server。NetWitness Serverは、レポート、調査、管理、その他のユーザ インタフェースを提供します。
-
キャパシティ。NetWitness Platformは、DAC(直接接続)またはSAN(Storage Area Network)接続を使用するモジュール型のアーキテクチャを採用し、短期間の調査、長期間の分析、およびデータ保管など、それぞれのニーズに応じた構成が可能です。
NetWitness Platformの導入は非常に柔軟です。お客様のパフォーマンスとセキュリティに関する個別の要件に基づいて、1台から数十台までの物理ホストを使用してアーキテクチャを設計できます。また、NetWitness Platformは、仮想化インフラストラクチャで動作することも可能です。
システム アーキテクチャの主要コンポーネントには、Decoder、Broker、Concentrator、Archiver、ESA、Warehouse Connectorが含まれます。これらのNetWitness Platformコンポーネントは、組み合わせて1つのシステムとして構成することも、個別のシステムとして構成することもできます。
- SIEM(セキュリティ情報およびイベント管理)実装では、基本構成として次のコンポーネントが必要です:Log Decoder、Concentrator、Broker、ESA(Event Stream Analysis)、NetWitness Server
- フォレンジック実装では、基本構成として次のコンポーネントが必要です:Decoder、Concentrator、Broker、ESA、Malware Analysis、およびEndpoint Log Hybrid。加えて、Respond Serverサービスも必要です。このサービスはアラートに優先度を設定します。
各主要コンポーネントについて、次の表で簡単に説明します。
コア コンポーネントとダウンストリーム コンポーネント
NetWitness Platformのコア サービスは、データの収集と解析、メタデータの生成、生成されたメタデータとRAWデータの集計を行います。コア サービスには、Decoder、Log Decoder、Concentrator、Brokerがあります。ダウンストリーム システムは、コア サービスに格納されているデータを使用して分析を行います。したがって、ダウンストリーム サービスの動作はコア サービスに依存します。ダウンストリーム システムには、Archiver、ESA、Malware Analysis、Investigate、Reportingがあります。
コア サービスは、ダウンストリーム システムなしでも動作し、優れた分析ソリューションを提供できますが、ダウンストリーム コンポーネントによって分析機能を強化できます。ESAは、セッション間およびイベント間だけでなく、ログ、パケット データ、エンドポイント データなどの異なるタイプのイベントに対してリアルタイムに相関を分析することができます。Investigateを使用すると、データにドリルダウンして、イベントおよびファイルを調査し、安全な環境でイベントを再構築できます。Malware Analysisサービスでは、ネットワーク セッションおよび関連ファイルに含まれる悪質なアクティビティをリアルタイムかつ自動的に調査します。