NW : Mise en route avec NetWitness Suite

Document created by RSA Information Design and Development on Apr 24, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Présentation

RSA NetWitness Suite est une puissante suite de détection de menaces qui permet aux centres d'opérations de sécurité (SOC) de localiser, hiérarchiser et trier rapidement les menaces. NetWitness Suite vous aide à isoler et à corriger les menaces connues, ainsi que celles qui étaient auparavant inconnues. Il fournit un aperçu approfondi des paquets, des logs et des points de terminaison qui vous offrent une vue inégalée sur votre entreprise ou votre activité.

NetWitness Suite est plus puissant que jamais, mais il est plus facile à utiliser pour les analystes de niveau 1 car il automatise le processus d'identification et de hiérarchisation des menaces suspectes. NetWitness Suite En outre, les analystes de niveau 2 et 3 peuvent rechercher et localiser les menaces à l'aide de nouveaux outils d'analyse, ainsi que des vues de métadonnées et des données brutes disponibles dans les versions précédentes de NetWitness Suite.

Architecture

RSA NetWitness Suite est un système distribué et modulaire qui permet des architectures de déploiement hautement flexibles s'adaptant aux besoins de l'organisation. NetWitness Suite permet aux administrateurs de collecter trois types de données à partir de l'infrastructure réseau, des données par paquets, des données de logs et des données de points de terminaison. Si NetWitness Endpoint 4.4, 4.4.0.0 est installé et configuré, les données d'événements de point de terminaison sont également collectées. Les aspects clés de l'architecture sont les suivants :

  • Collecte de données distribuées. Le service Decoder permet d'acquérir les données de paquets, alors que le service Log Decoder permet d'acquérir les données des fichiers log. Le services Decoder analysent et reconstruisent tout le trafic réseau collecté depuis les niveaux 2 à 7, ou les données de fichiers log et d'événements issues de centaines de périphériques et de sources d'événements, y compris les données de NetWitness Endpoint (si installé et configuré). Le Concentrator indexe les métadonnées extraites d'un réseau ou les données des fichiers log afin d'autoriser l'interrogation et l'analytique en temps réel à l'échelle de l'entreprise tout en facilitant le reporting et la génération d'alertes. Le Broker agrège les données capturées par d'autres appareils et sources d'événements. Les Brokers agrègent les données provenant des Concentrators configurés ; les Concentrators agrègent les données provenant des Decoders. Ainsi, un Broker fait le lien entre les multiples datastores en temps réel, conservés dans les différentes paires Decoder/Concentrator à travers l'infrastructure.

  • Alerte en temps réel. Le service NetWitness Suite Event Stream Analysis (ESA) fournit une analytique de flux avancée, comme la corrélation et le traitement d'événements complexes avec des débits élevés et une faible latence. Il peut traiter de gros volumes de données d'événements disparates provenant des services Concentrator. ESA utilise un langage EPL (Event Processing Language) avancé qui permet aux analystes de réaliser le filtrage, l'agrégation, les jointures, la reconnaissance des modèles et la corrélation entre plusieurs flux d'événements disparates. Event Stream Analysis offre une puissante détection des incidents et la génération d'alertes.

  • Analytique en temps réel (Analyse automatique des événements) La fonctionnalité Détection automatisée des menaces de RSA comprend des modules ESA Analytics préconfigurés pour détecter le trafic de commandes et de contrôles.

  • Serveur NetWitness. Serveur NetWitness est impliqué dans les modules Reporting, Investigation, Administration et d'autres aspects de l'interface utilisateur.

  • Capacité. NetWitness Suite possède une architecture à capacité modulaire compatible avec des unités DAC (direct-attached capacity) ou des réseaux de stockage SAN, qui s'adapte aux besoins de l'organisation en matière d'investigation à court terme, et d'analytique et de conservation de données à plus long terme.

NetWitness Suite offre une grande souplesse de déploiement. Vous pouvez composer son architecture de plusieurs dizaines d'hôtes physiques ou d'un seul hôte physique selon les caractéristiques spécifiques du client et les besoins en matière de sécurité. D'autre part, l'ensemble du système NetWitness Suite a été optimisé pour s'exécuter sur une infrastructure virtuelle.

L'architecture du système comprend les composants principaux suivants : services Decoder, Broker, Concentrator, Archiver, ESA et Warehouse Connector. Les composants NetWitness Suite peuvent être utilisés parallèlement en tant que système, ou peuvent être utilisés individuellement.

  • Lors de l'implémentation d'un système de gestion des événements et des informations de sécurité (SIEM), la configuration de base inclut les composants suivants : Log Decoder, Concentrator, Broker, Event Stream Analysis (ESA) etServeur NetWitness.
  • Lors de l'implémentation approfondie, la configuration de base inclut les composants suivants : Decoder, Concentrator, Broker, ESA, Malware Analysis et Endpoint Hybrid ou Endpoint Log Hybrid. Le service Serveur de réponse est également nécessaire et permet de hiérarchiser les alertes.

Ce tableau présente brièvement les principaux composants :

                                                  
Composant systèmeDescription
Decoder / Log Decoder
  • NetWitness Suite collecte les données de paquets, logs et points de terminaison. 
  • Les données de paquets (c'est-à-dire les paquets réseau) sont collectées par l'intermédiaire du Decoder via la prise robinet du réseau ou le port SPAN, généralement défini comme un point de sortie sur le réseau d'une organisation. 
  • Un Log Decoder peut collecter quatre types de log différents, à savoir Syslog, ODBC, événements Windows et fichiers plats.
  • Les événements Windows font référence à la méthode de collecte de Windows 2008 tandis que les fichiers plats sont obtenus via SFTP. 
  • Les deux types de services Decoder reçoivent des données transactionnelles brutes qui sont enrichies, clôturées et agrégées à d'autres composants de NetWitness Suite.
  • Le processus d'acquisition et d'analyse des données transactionnelles repose sur un framework dynamique et ouvert.
Endpoint Hybrid ou Endpoint Log Hybrid
  • Collecte et gère les données de point de terminaison des hôtes.

  • Génère des métadonnées pour la procédure d'enquête, l'analyse, l'alerte et le reporting.
  • Collecte des logs à partir des hôtes Windows et toutes les autres sources d'événements qui sont prises en charge pour la collecte de logs de NetWitness Suite.
Concentrator
  • Fournit une fonctionnalité d'indexation et de requête aux collectes NetWitness. 
  • Peut éventuellement transférer des données au service ESA.

Broker

  • Distribue l'accès à la collecte NetWitness à travers de nombreux services Concentrator ou Archiver, faisant de l'activité NetWitness Suite une collecte unique.
Archiver
  • Le service Archiver permet d'archiver les logs à long terme en indexant et en compressant les données des fichiers log, puis en les envoyant dans un espace de stockage d'archives.  
  • Cet espace de stockage d'archives est optimisé pour assurer une conservation des données à long terme et générer des rapports de conformité.  
  • Archiver stocke des logs bruts et des métadonnées de logs issus des Log Decoders en vue de leur conservation à long terme et utilise des DAC (Direct-Attached Capacity) dans le cadre du stockage.

    Remarque : Les paquets bruts et les métadonnées de paquets ne sont pas stockés dans Archiver.

Event Stream Analysis (ESA)
  • Le service Event Stream Analysis (ESA) fournit une analytique de flux d'événements, telle que la corrélation et le traitement complexe d'événements, avec un haut débit et une faible latence. Il est capable de traiter de gros volumes de données d'événements disparates provenant des services Concentrator.
  • ESA utilise un langage avancé de traitement des événements (Event Processing Language) permettant aux utilisateurs de réaliser le filtrage, l'agrégation, l'association, la reconnaissance de schémas et la corrélation entre des flux d'événements multiples et disparates. 
  • ESA contribue à une puissante fonction de détection des incidents et de génération d'alertes.
  • La fonctionnalité Détection automatisée des menaces de RSA comprend des modules ESA Analytics préconfigurés pour détecter le trafic de commandes et de contrôles.

Composants de base et en aval

Dans NetWitness Suite, les services Core intègrent et analysent les données, génèrent les métadonnées et agrègent les métadonnées générées aux données brutes. Les services Core comprennent les services Decoder, Log Decoder, Concentrator et Broker. Les systèmes en aval utilisent les données stockées sur les services Core à des fins d'analytique. Par conséquent, les opérations des services en aval dépendent des services Core. Les systèmes en aval incluent Archiver, ESA, Malware Analysis, Investigation et Reporting. 

Bien que les services Core puissent fonctionner et fournir une bonne solution analytique sans les systèmes en aval, les composants en aval fournissent une analytique supplémentaire. ESA offre une corrélation en temps réel à travers les sessions et événements, ainsi qu'entre différents types d'événements, tels que les données de log, de paquets et de points de terminaison. La vue Enquêter permet d'explorer les données, d'examiner les événements et les fichiers, mais également de reconstituer des événements dans un environnement sécurisé. Le service Malware Analysis assure l'inspection automatisée en temps réel des activités malveillantes dans les sessions réseau et les fichiers associés.

You are here
Table of Contents > Mise en route avec NetWitness Suite

Attachments

    Outcomes