NWの構成:Liveフィードバックの概要

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、Liveフィードバックの概要を説明します。Liveフィードバックでは、Packet Decoder、Log Decoder、Malware Analysisのライセンス使用状況のデータや、脅威の検出の有効化または無効化ステータス、有効化されたESAルールの数、NetWitness Suiteのすべてのサービスのバージョン番号などの関連情報を収集します。Packer Decoder、Log Decoder、Malware Analysisのライセンスの使用率データに関する詳細については、「ライセンス ガイド」の「[従量制ライセンス]タブ」を参照してください。NetWitness Suiteの今後のリリースを改善するための情報が収集されます。Liveフィードバックには自動的にサイン オンします。このオプションを無効にすることはできません。

これに加えて、Liveコンテンツの使用状況に関する情報をRSAと共有することもできます。[構成]>[LIVEコンテンツ]>[検索条件]で取得できる各リソース タイプのLiveコンテンツ使用状況のメトリックをRSAと共有することができます。例えば、使用するRSAアプリケーション ルールやRSA相関ルールの合計数を共有できます。収集された情報は、Liveコンテンツの向上のために活用されます。Liveコンテンツ構成の共有の詳細については、「[Liveサービス構成]パネル」を参照してください。

Liveフィードバックへの参加について

Liveフィードバックに参加すると、さらなる改善のための関連情報が収集されます。Liveフィードバックについては、「Liveフィードバックの概要」を参照してください。

NetWitness Suiteをインストールすると、Liveフィードバックに参加するよう促されます。詳細については、「Liveサービス設定の構成」を参照してください。

必要な場合は、手動で使用状況の履歴データをダウンロードし、RSAと共有することができます。使用状況の履歴データをダウンロードし、RSAと共有する方法については、Liveフィードバックの「Liveフィードバック用にデータをRSAにアップロード」を参照してください。

注:Liveフィードバックは、Liveアカウントを構成した場合にのみアクティブ化されます。

LiveフィードバックのデータはJSON形式です。これについては後で説明します。Liveアカウントを使用してサインアップすると、暗号化されたJSONファイルが毎日1つ、自動的にRSAサーバにアップロードされます。

JSONファイル

JSONファイルには、コンポーネントまたはコンポーネント セットの使用率データが含まれます。 同じライセンスIDを持つ複数のコンポーネントがセットになっている場合、すべてのコンポーネントの使用率データが集計され、1つのEntitlementコンポーネントとして表されます。ただし、Log decoderやDecoderなどの単一コンポーネントしかない場合でも、Entitlementコンポーネントが生成され、単一のコンポーネントの使用率データが表示されます。このような集計は、Log decoder、Decoder、Malware Analysisコンポーネントが対象になります。

注:Entitlementは、ライセンス データの集計であるため、バージョンは常にnullです。

たとえば、「xxx」という同じライセンスIDを持つDecoderが3つあり、次のような使用状況であるとします。
Decoder1 = 150 MB
Decoder2 = 250 MB
Decoder3 = 100 MB
集計された使用状況として500 MBが表示されます。

このJSONファイルについては、次のセクションで説明します。

  • コンポーネント
  • メトリック
  • その他の製品の詳細

コンポーネント

NetWitness Suite導入環境の各サービスの詳細情報です。これを、コンポーネントとして記述します。各コンポーネントについて、次の情報が含まれます。

                       
コンポーネント説明
バージョンNetWitness Suite導入環境のコンポーネントのバージョン番号。例:11.0.0.0.x.x.x.x
IDホストを特定する一意のコンポーネントIDです。生成されたメトリックへのリンクとして使用されます。
Properties
  • Name:コンポーネントのプロパティの名前です。例:malware analysis、ESA、log decoderなど。
  • Value:コンポーネントを識別する一意の値です。

メトリック

Log decoder、Decoder、Malware Analysisなどの、コンポーネント(ホスト)のメトリックです。各ホストのライセンス使用率データが共有されます。Liveコンテンツ使用状況のメトリックについては、[Live]>[検索]で取得できる各リソース タイプを共有できます。例えば、使用するRSAアプリケーション ルールやRSA相関ルールの合計数を共有できます。

                           
コンポーネント説明
StartTimeUTCメトリックの収集を開始した時間です(EPOCH形式)。
Stats
  • Value:特定のコンポーネント IDのコンポーネントに対して生成された値です。
  • Name:メトリックを収集する統計情報の名前です。たとえば、合計バイト数です。
EndTimeUTCメトリックの収集を完了した時間です(EPOCH形式)。
Component ID値が記録されているコンポーネントのIDです。

その他の製品の詳細

  • Product Type:製品の名前です。この例では、製品タイプはNetWitness Suiteです。
  • Version:ファイル形式の変更を追跡するために使用する、JSONファイルのバージョンです。
  • Product Instance:ライセンス サーバのIDです。
  • Checksum:改ざんチェックに使用される情報です。

次の表に、JSONファイルの詳細と例を示します。

                                                                                                                       
メトリック説明
Contentチェックサムを除く、すべてのコンポーネント、メトリック、製品のタイプ、製品のインスタンス データを含みます。
Components

 

NetWitness Suiteのすべてのサービスの詳細がコンポーネントとして示されます。次のように、コンポーネントのバージョン番号、名前、値など、コンポーネントの詳細が表示されます。

Version:NetWitness Suiteサービスのバージョンが表示されます。例:11.0.0.0.

ID:各NetWitness Suiteサービスに対して生成される固有のIDです。そのコンポーネントのメトリックへのリンクとして使用されます。この例では、Malware AnalysisのIDは5で、ComponentId 5に対してメトリックは次のようにバイト単位で表示されます。

Properties:上の図に示すように、名前や値など、コンポーネントのプロパティが表示されます。

Value:上の図では、プロパティの値として、コンポーネントの内部UUIDが表示されています。これは、NetWitness Suiteによって生成されます。 たとえば、 Malware Analysisでは、"55f7a0b30e502231c42d063f"と表示されます

Name: "InstanceId":上の図に示すように、プロパティの名前が表示されます。

Name":"malwareanalysis":LogDecoder、Decoder、MalwareAnalysisなどのサービス名がコンポーネントの名前として表示されます。

Metrics

 

 

 

コンポーネント(Log Decoder、Decoder、Malware Analysis)の使用率データのメトリックの一覧が表示されます。

この例では、次のように、ComponentId 5のメトリックがバイト単位で表示されます。

StartTimeUTC:メトリックの収集を開始した時間がEPOCH形式で表示されます。
Stats:コンポーネントの使用率の値と、使用タイプの統計情報が表示されます。
Value:統計情報の値が表示されます。たとえば、上の図に示すように、"Value":"1582940012678"と表示されます。
Name:統計情報の名前が表示されます。たとえば、Capture Total BytesまたはTotal File bytesと表示されます。
EndTimeUTC:メトリックの収集を完了した時間がEPOCH形式で表示されます。

ComponentId:メトリック値が収集されたコンポーネントのIDが表示されます。これは、[Components]セクションの[ID]と同じです。

Contentチェックサムを除く、すべてのコンポーネント、メトリック、製品のタイプ、 製品のインスタンス データを含みます。

Components

 

 

 

 

 

 

 

 

NetWitness Suiteのすべてのサービスの詳細がコンポーネントとして示されます。次のように、コンポーネントのバージョン番号、名前、値など、コンポーネントの詳細が表示されます。

Version:NetWitness Suiteサービスのバージョンが表示されます。例:11.0.0.0

ID:各NetWitness Suiteサービスに対して生成される固有のIDです。そのコンポーネントのメトリックへのリンクとして使用されます。この例では、Reporting EngineのIDは6で、ComponentId 6に対してメトリックは次のように合計数で表示されます。

Properties:上の図に示すように、名前や値など、コンポーネントのプロパティが表示されます。

Value:上の図では、プロパティの値として、コンポーネントの内部UUIDが表示されています。これは、NetWitness Suiteによって生成されます。たとえば、Reporting Engineの場合、この値は「57444ddde4b0dd618093064d」と表示されます。

Name: "InstanceId":上の図に示すように、プロパティの名前が表示されます。

Name": "reportingengine":LogDecoder、Decoder、ReportingEngineなどのサービス名がコンポーネントの名前として表示されます。

Name:コンポーネント(Log Decoder、Decoder、Reporting Engine)の使用率データのメトリックの一覧が表示されます。

この例では、次のように、ComponentId 6のメトリックがバイト単位で表示されます。

StartTimeUTC:メトリックの収集を開始した時間がEPOCH形式で表示されます。

     Stats:コンポーネントの使用率の値と、使用タイプの統計情報が表示されます。
Value:統計情報の値が表示されます。たとえば、上記の図のように、Number of RE Reportは10、Number of RE Alertは2、Number of RE Chartは1などとなります。
Name:統計情報の名前が表示されます。たとえば、Number of RE Report、 Number of RE Alert、Number of RE Chart、Number of RE Rule、Number of Enabled RE Alert、Number of Enabled RE Chartとなります。
EndTimeUTC:メトリックの収集を完了した時間がEPOCH形式で表示されます。

ComponentId:メトリック値が収集されたコンポーネントのIDが表示されます。これは、[Components]セクションの[ID]と同じです。

ProductTypeファイルを生成した製品のタイプが表示されます。 例:"ProductType": "NetWitness Suite"

ProductInstance

ライセンス サーバのIDが表示されます。これは、NetWitness Suiteごとに固有です。例:"ProductInstance": "00-0C-29-6C-66-E3"

Checksumファイル内の「Content」セクションに対するチェックサムが表示されます。RSAによって改ざんチェックのために使用されます。例:"Checksum": "883DACF97E4BCD9F590A1461A4DD0A312B5883A6CF82E0518E77AAB6A6DDB654"

JSONファイルのサンプルです。

 

You are here
Table of Contents > 標準的な手順 > Liveサービス設定の構成 > Liveフィードバックの概要

Attachments

    Outcomes