Présentation de Warehouse Connector

Document created by RSA Information Design and Development on Apr 26, 2018
Version 1Show Document
  • View in full screen mode
 

Warehouse Connector collecte des métadonnées et des événements à partir de Decoder et de Log Decoder et les écrit au format Avro dans un système informatique distribué basé sur Hadoop. Vous pouvez configurer le Warehouse Connector en tant que service sur les Log Decoders ou Decoders existants.

Le Warehouse Connector comprend les composants suivants :

  • Source de données
  • Destination
  • Flux de données

Source de données

Une source de données représente le service à partir duquel le Warehouse Connector collecte les données à stocker dans la destination. Les sources de données prises en charge sont les services Log Decoder et Decoder. Le Log Decoder collecte les événements consignés et le Decoder collecte les paquets et les métadonnées exclusivement.

Destination

La destination représente le système informatique distribué, basé sur Hadoop, qui collecte et gère les données de sécurité et permet de créer un rapport sur ces mêmes données. Voici les destinations de données prises en charge :

  • Déploiements de RSA NetWitness Warehouse (MapR)
  • Hortonworks Data Platform
  • Système informatique distribué Hadoop prenant en charge le montage WebHDFS ou NFS des systèmes de fichiers HDFS. 
    • Exemple : Version commerciale MapR M5 Enterprise Edition pour Apache Hadoop

Flux de données

Un flux de données est une connexion logique entre la source et la destination des données. Vous pouvez avoir plusieurs flux pour différents sous-ensembles de données collectées. Vous pouvez configurer des flux pour ségréger les données de plusieurs services Decoder et Log Decoder. Vous pouvez créer un flux avec plusieurs sources de données et une seule destination ou avec une seule source et destination de données.

Le service Warehouse Connector effectue les opérations suivantes :

  • Agrège les données des sessions et des fichiers log bruts des services Decoder et Log Decoder.
  • Transfère les données agrégées en destinations prises en charge, comme les déploiements basés sur Hadoop.
  • Sérialise les données agrégées qui incluent à la fois le schéma et les données au format AVRO.

Le service Warehouse Connector prend également en charge les éléments suivants :

Métafiltres

Les métafiltres du Warehouse Connector vous permettent de filtrer les clés méta qui ont été écrites dans le Warehouse. Pour plus d'informations, reportez-vous à la rubrique Spécifier les métafiltres pour un flux.

Prise en charge de plusieurs clés de métadonnées à valeurs multiples

RSA NetWitness Warehouse prend en charge plusieurs clés de métadonnées à valeurs multiples. Les clés de métadonnées à valeurs multiples représentent le champ des métadonnées avec le type de baie. Vous pouvez utiliser la bibliothèque des clés méta pour déterminer les champs de métadonnées de type Tableau et écrire des requêtes Hive avec la syntaxe appropriée aux baies. Par défaut, les clés méta suivantes sont traitées comme des valeurs multiples et sont définies dans le fichier, multivalue-bootstrap.xml à l'emplacement /etc/netwitness/ng dans le Warehouse Connector :

  • alias.host
  • action
  • username
  • alias.ip
  • alias.ipv6
  • email
  • device.group

  • event.class

validation checksum

Warehouse Connector vous permet de valider l'intégrité des fichiers AVRO qui sont transférés depuis le Warehouse Connector vers les destinations de données. Pour cela, vous devez activer la validation checksum lors de la configuration du Warehouse Connector.

Prise en charge du Lockbox

Le lockbox fournit un fichier chiffré que Warehouse Connector utilise pour stocker et protéger les données sensibles. Vous devez créer le lockbox en fournissant un mot de passe Lockbox lors de la configuration initiale du Warehouse Connector.

Vous pouvez implémenter le Warehouse Connector en configurant Warehouse Connector en tant que service sur votre hôte Log Decoder ou Decoder existant. 

Voici une présentation de l’ensemble du processus d’installation et de configuration du service Warehouse Connector sur Log Decoder ou Decoder, de la configuration du service Warehouse Connector sur NetWitness, de la configuration des sources de données, des destinations, des flux de données pour Warehouse Connector et de la configuration des notifications d’alerte sur NetWitness.

Pour installer et configurer le service Warehouse Connector, procédez comme suit :

  1. Installez le service Warehouse Connector sur un Log Decoder ou Decoder
  2. Configurez un service Warehouse Connector
  3. Configurez la Source de données pour Warehouse Connector
  4. Configurez la Destination
  5. Configurez un flux
  6. Surveillez un Warehouse Connector
  7. Ajoutez Warehouse comme source de données au Reporting Engine
  8. Analysez un rapport Warehouse
  9. Gérez un flux de données et un Lockbox
You are here
Table of Contents > Fonctionnement de Warehouse Connector

Attachments

    Outcomes