Configuration d’ESA : Mappage des sources de données ESA aux modules Analytics

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by Susan Ewald on Apr 23, 2018
Version 2Show Document
  • View in full screen mode
 

Cette rubrique indique aux administrateurs comment mapper des modules spécifiques ESA Analytics aux différentes sources de données et services ESA Analytics pour renforcer l’efficacité du traitement.

Vous pouvez analyser les données qui résident sur un ou plusieurs Concentrators avec la fonctionnalité RSA NetWitness Suite Automated Threat Detection en sélectionnant un module ESA Analytics préconfiguré. Les données analysées par ces modules sont utilisées pour identifier les menaces avancées. Pour mieux utiliser vos ressources réseau et réduire le flux de données inutile, vous pouvez mapper plusieurs sources de données (telles que des Concentrators) à plusieurs services ESA Analytics afin de traiter les données plus efficacement et de tirer parti de capacités supplémentaires.

Un module ESA Analytics est un pipeline composé d'objets d'activité qui enrichissent un événement avec des informations supplémentaires via des calculs mathématiques. Les modules ESA Analytics résident dans les services ESA Analytics.

Lorsque vous déployez votre mappage, les services ESA Analytics sélectionnés utilisent l’agrégation basée sur une requête pour collecter les événements filtrés appropriés pour le module sélectionné à partir des Concentrators. L’agrégation basée sur une requête est une requête prédéfinie qui transfère uniquement les données pour le module ESA Analytics sélectionné. Seules les données requises par le module sont transférées entre le service Concentrator et le système ESA Analytics.

Deux modules ESA Analytics sont actuellement disponibles pour les domaines suspects : C2 for Packets (http-packet) et C2 for Logs (http-log).

Exemple de déploiement de modules : deux ESA

Pour tirer parti de votre capacité de Concentrator supplémentaire, vous pouvez mapper un module ESA Analytics à un service ESA Analytics et le déployer pour analyser les données à partir de plusieurs sources de données en même temps.

Par exemple, si vous avez trois Concentrators et deux services ESA Analytics, vous pouvez créer et déployer les mappages suivants :

  • Mappez le module 1 aux sources 1 et 2 du Concentrator et au service ESA Analytics 1. Le service ESA Analytics 1 analyse les événements filtrés du module 1 issus des Concentrators 1 et 2.
  • Mappez le module 2 aux sources 2 et 3 du Concentrator et au service ESA Analytics 2. Le service ESA Analytics 2 traite les événements filtrés du module 2 issus des Concentrators 2 et 3.

Dans cet exemple, le module 1 représente un module ESA Analytics, par exemple C2 for Packets (http-packet) et le module 2 représente un autre module ESA Analytics, par exemple C2 for Logs (http-logs) à un autre emplacement.

Exemple de déploiement de modules : 2 ESA

Cet exemple montre comment les deux services peuvent traiter les données issues du même Concentrator. Notez que les services ESA Analytics 1 et 2 peuvent tous deux traiter les données issues du Concentrator 2. Le service ESA Analytics 1 interroge les données pour les événements du module 1 et le service ESA Analytics 2 interroge les différentes données pour les événements du module 2.

Exemple de déploiement de module : un ESA

En plus de créer des mappages de modules qui sont traités par différents services ESA Analytics, vous pouvez mapper plusieurs modules au même service ESA Analytics.

Par exemple, si vous avez trois Concentrators et un service ESA Analytics, vous pouvez créer et déployer les mappages suivants :

  • Mapper le module 1 aux sources 1 et 2 du Concentrator et au service ESA Analytics 1. Le service ESA Analytics 1 analyse les événements filtrés du module 1 issus des Concentrators 1 et 2.
  • Mapper le module 2 aux sources 2 et 3 du Concentrator et au service ESA Analytics 1. Le service ESA Analytics 1 traite les événements filtrés du module 2 issus des Concentrators 2 et 3.

Exemple de déploiement de module : un ESA

Cet exemple montre comment un seul service peut traiter les données provenant de plusieurs modules. Notez que le service ESA Analytics 1 peut traiter les données issues des Concentrators 1 et 2 pour le module 1. Il traite également les données issues des Concentrators 2 et 3 pour le module 2. Le service ESA Analytics 1 interroge les données pour les événements du module 1 et interroge les différentes données pour les événements du module 2.

Attention : Assurez-vous que tous les services d’hôte NetWitness Suite sont synchronisés avec une source de temps cohérente.

Conditions préalables

  • Tous les services d’hôte NetWitness Suite doivent être synchronisés avec une source de temps cohérente.
  • Les hôtes et services Concentrator doivent être découverts et disponibles dans l’interface utilisateur NetWitness Suite.
  • Toutes les exigences spécifiques du module doivent être respectées.
    • Pour les domaines suspects :
      • Configurer les paramètres de log (domaines suspects uniquement pour les logs)
      • Créer une liste blanche à l'aide du service Context Hub.
      • Configurer le service de recherche Whois
      • Vérifier que la règle d’incident C2 est activée et surveiller la pour repérer l’activité.
      • Vérifier que les incidents sont regroupés par C&C suspecte.

    Pour savoir comment procéder par étape, reportez-vous au NetWitness Suite Guide de détection automatisée des menaces.

Créer des mappages ESA Analytics

La procédure suivante vous indique comment mapper les modules ESA Analytics aux sources et services. Après avoir créé et revu les mappages, déployez-les pour qu’ils puissent démarrer l’agrégation des données.

  1. Accédez à ADMIN > Système, et dans le panneau d’options, sélectionnez ESA Analytics.
    Le panneau Mappages ESA Analytics s’affiche.
    Panneau Mappages ESA Analytics
  2. Cliquez sur pour créer un mappage ESA Analytics. Créez un mappage distinct pour chaque module.
    La boîte de dialogue Créer des mappages s’affiche.
    Boîte de dialogue Créer des mappages - Vide
  3. Dans la liste Module, sélectionnez un module.
  4. Configurez une ou plusieurs sources de données (Concentrators) pour vos mappages. Procédez de la façon suivante pour chaque Concentrator :
    1. Cliquez sur Icône Ajouter .
      La boîte de dialogue Sources disponibles affiche les sources de données qui sont disponibles dans la vue Admin > Services.
      Boîte de dialogue Sources disponibles
    2. Dans la boîte de dialogue Sources disponibles, sélectionnez un Concentrator et cliquez sur OK.
      La boîte de dialogue Ajouter une source s'affiche.
      Boîte de dialogue Ajouter une source - Vide
    3. Dans la boîte de dialogue Ajouter une source, saisissez le nom d’utilisateur administrateur pour le Concentrator.
    4. Cliquez sur Tester la connexion pour vous assurer qu’il peut communiquer avec le service ESA Analytics.
      Boîte de dialogue Ajouter une source - Test de connexion réussi
    5. Cliquez sur OK.
      Lorsque vous avez configuré vos sources de données et qu’elles apparaissent dans la liste Sources, vous pouvez les réutiliser pour d’autres mappages.
  5. Dans la liste Sources, sélectionnez une ou plusieurs sources de données pour agréger les données pour le module.
    Boîte de dialogue Créer des mappages
    Un cercle vert plein indique un service en cours d’exécution et un cercle blanc indique un service arrêté.
  6. Dans la liste Service, sélectionnez un service ESA Analytics pour traiter les données pour le module.
  7. Si nécessaire, spécifiez l'heure qui sera utilisée pour interroger les données des services Concentrator sélectionnés.

    Champ

    Description

    Période d'initialisation (Heures)

    Spécifie une durée d'initialisation (en heures). Une période d'initialisation est nécessaire pour permettre à la détection automatisée des menaces d’en savoir plus sur votre trafic. La période d'initialisation doit s’exécuter lorsqu’un trafic classique est en cours d’exécution. Pendant ce temps, l’alerte relative au mappage de module est supprimée. La période d'initialisation amorce le module avec les données historiques et garantit que le nombre spécifié d'heures de collecte de données est atteint avant l’envoi d’alertes.

    RSA fournit des modules ESA Analytics préconfigurés. Chaque type de module dispose d’une période d'initialisation définie par défaut, que vous pouvez ajuster à votre environnement, si nécessaire. Après cette période d'initialisation, les alertes peuvent être affichées.

    Pour plus d’informations sur la période d'initialisation et le temps de latence, reportez-vous à la rubrique Paramètres du module.

    Temps de latence (Minutes)

    Spécifie un délai constant, en minutes, qui est ajouté pour éviter de perdre des événements en cours de traitement par les sources de données pendant les périodes d’activité intense. Par exemple, les performances du Concentrator varient en fonction de facteurs tels que la charge entrante, les requêtes en continu et l’indexation. En raison de ces facteurs, un Concentrator peut ne pas agréger les événements en temps réel, ce qui entraîne un retard.

    Le paramètre de latence donne au service Concentrator une chance de terminer l'agrégation de toutes les données.

    Une fois la période d'initialisation terminée, l’agrégation des données se poursuit à l’Heure actuelle (système) - Temps de latence. Cela est utile lorsqu'un service Concentrator tarde à agréger les données. Le temps de latence garantit que le module ne traite pas les données qui arrivent au Concentrator pendant la période de latence, et un retard suffisant assure que tous les événements générés dans l’entreprise peuvent être traités par le module.

    Par exemple, si le temps de latence est de 30 minutes et que l’heure actuelle est 14h00, le Concentrator commencera à extraire les enregistrements à 13h30. La période de latence, 30 minutes dans cet exemple, reste constante. Lorsque l’heure actuelle passe à 14h01, le Concentrator extrait la minute de données suivante à 13h31, et ainsi de suite.

    Important : Le temps de latence définit le décalage entre l’heure actuelle et l’heure à laquelle le module réceptionne les données.

    Attention : RSA recommande aux administrateurs d’ajuster le paramètre de latence dynamiquement en fonction des performances de chaque Concentrator pour éviter de manquer des événements lors de l’agrégation.

    Pour plus d’informations sur la période d'initialisation et le temps de latence, reportez-vous à la rubrique Paramètres du module;

  8. Cliquez sur Créer.
    Les mappages que vous créez s’affichent dans la liste des mappages existants avec l’état Non déployé.
    Panneau Mappages ESA Analytics
    Important : Pour démarrer un module pour qu’il lance l’agrégation des données, vous devez le déployer.

Déployer des mappages ESA Analytics

Une fois que vous avez créé vos mappages, vous devez les déployer afin de lancer l’agrégation des données pour les modules.

  1. Dans la liste des mappages, vérifiez que l’état des mappages que vous souhaitez déployer est Non déployé.
  2. Sélectionnez un ou plusieurs mappages à l’état Non déployé et sélectionnez Déployer maintenant.
    Tous les mappages sélectionnés à l’état Non déployé commencent à agréger les données de la façon configurée dans le mappage. L’état du mappage passe à Déployé.
    Vous ne pouvez pas déployer un mappage qui a déjà été déployé.

Mettre à jour un mappage

Vous ne pouvez avoir qu’un seul mappage par module. Si vous souhaitez apporter des modifications à un mappage déployé, par exemple en ajoutant ou en supprimant des Concentrators ou en modifiant le service, vous devez annuler le déploiement et supprimer le mappage existant, puis créer et déployer un nouveau mappage pour ce module.

Vous pouvez apporter les mises à jour suivantes à un mappage déployé sans le supprimer :

  • Annuler le déploiement d’un mappage
  • Modifier la période d'initialisation et le temps de latence

Vous pouvez aussi modifier la période d’initialisation et le temps de latence d’un mappage de module non déployé.

Annuler le déploiement d’un mappage

Si vous souhaitez arrêter l’agrégation des données pour un mappage de module, mais que vous ne souhaitez pas supprimer le mappage, vous pouvez en annuler le déploiement. Vous pouvez alors le déployer ultérieurement. Lorsque vous annulez le déploiement d’un mappage, le service ESA Analytics arrête d’extraire les données de la source de données de ce module.

Attention : L’annulation du déploiement d’un mappage dont l’état est Déployé a une incidence sur l’agrégation des données de ce module.

Pour annuler le déploiement d’un mappage

  1. Dans le panneau Mappages ESA Analytics, sélectionnez le mappage déployé dont vous souhaitez annuler le déploiement.
  2. Dans la colonne Actions, sélectionnez Icône Actions > Annuler le déploiement.
    L’état passe de Déployé à Non déployé et l’agrégation des données s’arrête.

Supprimer un mappage

Vous pouvez supprimer un mappage dont l’état est Non déployé à tout moment. Étant donné qu’un mappage à l’état Non déployé n’est pas en cours d’exécution, il n’affecte pas l’agrégation des données.

Vous devez annuler le déploiement d’un mappage dont l’état est Non déployé avant de le supprimer. L’annulation du déploiement d’un mappage et la suppression de ce mappage efface sa configuration sur le serveur ESA, annule le déploiement de ce mappage et arrête l’extraction des données à partir de la source de données de ce module.

Attention : L’annulation du déploiement d’un mappage et la suppression de ce mappage a une incidence sur l’agrégation des données de ce module.

Pour supprimer un mappage :

  1. Dans le panneau Mappages ESA Analytics, sélectionnez le mappage que vous souhaitez supprimer. Vous ne pouvez supprimer qu’un seul mappage à la fois.
  2. Cliquez sur Icône Supprimer.

Modifier la période d'initialisation et le temps de latence

Vous voudrez peut-être régler la période d’initialisation d’un mappage de module spécifique. Par exemple, une fois la période d’initialisation dépassée, vous pouvez augmenter le paramètre de la période d’initialisation afin d’autoriser un temps d’initialisation supplémentaire. Vous pouvez même augmenter la période d’initialisation lorsque votre mappage de module s’initialise activement.

Si nécessaire, vous pouvez modifier le temps de latence pour le module. Le temps de latence définit le décalage entre l’heure actuelle (système) et l’heure à laquelle le module réceptionne les données.

  1. Dans le panneau Mappages ESA Analytics, sélectionnez le mappage que vous souhaitez modifier puis, dans la colonne Actions, sélectionnez Icône Actions > Modifier le module.
    La boîte de dialogue Paramètres du module affiche le module sélectionné, le service ESA Analytics et les sources de données pour le mappage. Les sources de données affichent les URL utilisées pour communiquer avec ESA.
    Boîte de dialogue Paramètres du module
  2. Consultez la section État de l’initialisation pour déterminer l’état actuel de l’initialisation :
    • Initialisation démarrée à : heure à laquelle le premier événement a été traité par le module ESA Analytics à partir de la source de données.
    • Heure du premier événement : heure à laquelle le premier événement s'est produit. Le temps d'initialisation est basé sur cette heure.
    • Heure du dernier événement : heure à laquelle le dernier événement s'est produit.
    • Temps d’initialisation restant : nombre d’heures restantes dans la période d'initialisation.
    • Terminé ? Indique si la période d'initialisation est terminée. Si c’est le cas, la période d'initialisation est terminée. Si ce n’est pas le cas, le module est toujours en cours d'initialisation et vous pouvez afficher le nombre d’heures restantes dans le champ Temps d'initialisation restant.
  3. Dans la section Configuration, vous pouvez mettre à jour la Période d’initialisation (heures) selon que la période d’initialisation est terminée ou non.
    • Pendant la période d’initialisation : Vous pouvez ajouter des heures à la période d’initialisation ou soustraire un temps d’initialisation restant.
    • Après la période d’initialisation : Vous pouvez ajouter des heures à la période d’initialisation en ajoutant la différence entre l’heure actuelle et l’heure du premier événement aux heures que vous souhaitez ajouter.
      Par exemple, une période d’initialisation de 10 heures est terminée et l’heure du premier événement est 12:00:00. L’heure actuelle est 16:00:00 (4 heures plus tard) et vous souhaitez ajouter 5 heures à la période d’initialisation. Pour ce faire, vous devez ajouter 9 heures (4+5=9) à la période d’initialisation de 10, donc vous devez définir une nouvelle période d’initialisation de 19 heures.
      Vous ne pouvez pas réduire la période d’initialisation si elle est terminée, sauf si vous supprimez le mappage et que vous en créez un nouveau.
  4. Si nécessaire, vous pouvez ajuster le Temps de latence (Minutes) pour donner aux Concentrators présents dans le mappage plus de temps pour terminer l’agrégation de toutes les données.
  5. Cliquez sur Enregistrer.
    Les modifications NE prennent PAS effet immédiatement. Pour que les paramètres prennent effet, vous devez annuler le déploiement et redéployer le mappage.
  6. Pour annuler le déploiement du mappage, dans le panneau Mappages ESA Analytics, sélectionnez le mappage dont vous voulez annuler le déploiement et Icône Actions > Annuler le déploiement.
    L’agrégation des données s’arrête pour le mappage sélectionné.
  7. Pour redéployer le mappage, sélectionnez le mappage que vous souhaitez déployer et Icône Actions > Déployer.
    Le mappage sélectionné se déploie et commence à agréger les données de la façon configurée dans le mappage.
You are here
Table of Contents > Configurer ESA Analytics > Mappage des sources de données ESA aux modules Analytics

Attachments

    Outcomes