このトピックでは、仮想環境にRSANetWitness Suite11.0.0.0を導入するための一般的なガイドラインと要件について説明します。
「仮想ホスト設定ガイド」で使用される略語
サポートされる仮想ホスト
次のNetWitness Suiteホストを仮想ホストとして仮想環境にインストールできます。仮想環境によって提供される機能を継承できます。
- NetWitnessサーバ
- Event Stream Analysis:ESAプライマリとESAセカンダリ
- Archiver
- Broker
- Concentrator
- Log Decoder
- Malware Analysis
- Decoder
- リモートLog Collector
次のVMwareインフラストラクチャの概念に精通している必要があります。
- VMware vCenter Server
- VMware ESXi
- 仮想マシン
VMwareの概念については、VMware製品ドキュメントを参照してください。
仮想ホストは、OVAとして提供されます。仮想インフラストラクチャにOVAファイルを導入し、仮想マシンを構築する必要があります。
インストール メディア
インストール メディアは、OVAパッケージの形式で提供され、Download Central(https://download.rsasecurity.com)からダウンロードしてインストールすることができます。製品を購入いただくと、OVAにアクセスできるようになります。
仮想環境の推奨事項
OVAパッケージによりインストールされる仮想ホストは、NetWitness Suiteハードウェア ホストと同じ機能を持ちます。つまり、仮想ホストを導入する際に、バックエンド ハードウェアを考慮する必要があります。RSAでは、仮想環境の設定時に、次のタスクを実行することを推奨します。
- さまざまなコンポーネントのリソース要件に基づき、ベスト プラクティスに沿ったシステムおよび専用のストレージを適切に導入します。
- バックエンドのディスクは、導入環境に必要な収集レートよりも一貫して10%以上高速な書き込み速度を達成できるよう構成します。
- OVAでは、ホスト アプライアンスあたり32 GBのRAMが必要です。
- Concentratorのメタ データベースとインデックス データベースのディレクトリは、SSD/EFD HDD上に構築します。
- データベース コンポーネントがOS(オペレーティング システム)コンポーネントから独立している(つまり、独立した物理システム上にある)場合、次のいずれかの直接接続を使用します。
- 仮想ホストごとに2つの8 Gbpsファイバー チャネルを使用したSAN
または - 6 Gbpsシリアル アタッチSCSI(SAS)
- 仮想ホストごとに2つの8 Gbpsファイバー チャネルを使用したSAN
注:1.) 現時点では、NetWitness Suiteは仮想環境でのNASの使用をサポートしません。
2.) Decoderでは、継続的スループット要件を満たしていれば、どのようなストレージ構成でもかまいません。SANへの標準の8 Gbpsファイバー チャネル リンクは、10 Gbでのパケット データの読み書きには不十分です。10G DecoderをSANに接続する場合は、複数のファイバー チャネルを使用する必要があります。
仮想ホストの推奨システム要件
次の表は、EPSレート(ログ)またはMbps収集レート(パケット)に基づき、各コンポーネントの仮想ホストのvCPU、vRAM、読み取り/書き込みIOPSの推奨要件を示しています。
- ストレージの割り当ては、「ステップ3.NetWitness Suiteのデータベースの構成」で説明します。
- vRAMおよびvCPUの推奨値は、収集レート、構成、有効化されたコンテンツによって異なります。
- 推奨事項は、ログについては最大25,000 EPSの取得レートで、SSLではないパケットについては最大2 Gbpsの取得レートでテストしました。
- 以下の表に記載されているすべてのコンポーネントのvCPUの仕様は、
Intel Xeon CPU @2.59 Ghzです。 - すべてのポートは、ログ用には15,000 EPSで、パケット用には1.5 Gbpsで、SSLでテストされています。
注:新規機能と拡張機能をインストールして試用する場合、前述の推奨値は11.0.0.0インストールと異なる場合があります。
シナリオ1
これらの表の要件は、次の条件で計算されました。
- すべてのコンポーネントが統合されている。
- ログ ストリームには、Log Decoder、Concentrator、Archiverがある。
-
パケット ストリームには、Packet DecoderとConcentratorがある。
- バック グラウンド負荷には、1時間ごとのレポートと日次レポートがある。
- チャートが構成されている。
Log Decoder
Packet Decoder
Concentrator - ログ ストリーム
Concentrator - パケット ストリーム
Achiver
シナリオ2
これらの表の要件は、次の条件で計算されました。
- すべてのコンポーネントが統合されている。
- ログ ストリームには、Log Decoder、Concentrator、Warehouse Connector、Archiverがある。
- パケット ストリームには、Packet Decoder、Concentrator、Warehouse Connectorがある。
- Event Stream Analysisでは、90K EPSで3台のHybrid Concentratorから集計する。
- Incident Managementでは、Event Stream AnalysisとReporting Engineからアラートを受信する。
- バックグラウンド負荷には、レポート、チャート、アラート、調査、インシデント管理が含まれている。
- アラートが構成されている。
Log Decoder
Packet Decoder
Concentrator - ログ ストリーム
Concentrator - パケット ストリーム
Warehouse Connector - ログ ストリーム
Warehouse Connector - パケット ストリーム
Archiver - ログ ストリーム
ESA(Event Stream Analysis)とContext Hub
NetWitnessサーバと同じ場所にあるコンポーネント
NetWitnessサーバ、Jetty、Broker、Incident Management、Reporting Engineは同じ場所にあります。
シナリオ3
これらの表の要件は、次の条件で計算されました。
- すべてのコンポーネントが統合されている。
- ログ ストリームには、Log DecoderとConcentratorがある。
- パケット ストリームには、Packet DecoderとConcentratorがある。
- Event Stream Analysisでは、90K EPSで3台のHybrid Concentratorから集計する。
- Incident Managementでは、Event Stream AnalysisとReporting Engineからアラートを受信する。
-
バック グラウンド負荷には、1時間ごとのレポートと日次レポートがある。
- チャートが構成されている。
Log Decoder
Packet Decoder
Concentrator - ログ ストリーム
Concentrator - パケット ストリーム
Log Collector(ローカルおよびリモート)
リモートLog Collectorは、リモート ホストで実行されているLog Collectorサービスであり、リモートCollectorは仮想的に導入されます。
リモートLog Collectorのサイジング ガイドライン
Legacy Windows Collectorのサイジングのガイドラインについては、「RSA NetWitness Suite Legacy Windows収集 アップグレードおよびインストール」を参照してください。