NW: Introducción de NetWitness Suite

Document created by RSA Information Design and Development on Apr 30, 2018Last modified by RSA Information Design and Development on Oct 22, 2018
Version 2Show Document
  • View in full screen mode
 

Descripción general

RSA NetWitness Suite es una suite eficaz de detección de amenazas que permite que los centros de operaciones de seguridad (SOC) realicen rápidamente tareas de localización, asignación de prioridades y triage de amenazas. NetWitness Suite lo ayuda a aislar y corregir las amenazas conocidas, así como aquellas que se desconocían. Proporciona información valiosa detallada de paquetes, registros y terminales que le brinda una vista única de la empresa o el negocio.

NetWitness Suite es más potente que nunca, pero es más fácil de usar para los analistas de nivel 1, ya que automatiza el proceso de identificar y dar prioridad a las amenazas sospechosas. NetWitness Suite Además, los analistas de nivel 2 y nivel 3 pueden buscar y localizar amenazas mediante las nuevas herramientas de análisis, junto con vistas de metadatos y datos crudos disponibles en versiones anteriores de NetWitness Suite.

Arquitectura

RSA NetWitness Suite es un sistema distribuido y modular que permite arquitecturas de implementación altamente flexible que escalan según las necesidades de la organización. Con NetWitness Suite, los administradores pueden recopilar tres tipos de datos desde la infraestructura de red, datos de paquetes, datos del registro y datos de terminales. Si NetWitness Endpoint 4.4, 4.4.0.0 o superior está instalado y configurado, también se recopilan datos de eventos de terminales. Los aspectos clave de la arquitectura son:

  • Recopilación de datos distribuidos. El Decoder recopila datos de paquetes y el Log Decoder, datos del registro. Los Decoders analizan y reconstruyen todo el tráfico de red recopilado desde las capas 2 a la 7 o los datos de registros y eventos de cientos de dispositivos y orígenes de eventos, incluidos los datos de NetWitness Endpoint (si está instalado y configurado). Concentrator indexa metadatos extraídos de los datos de red o de registros y los pone a disposición para la analítica en tiempo real y la creación de consultas de toda la empresa, a la vez que facilita la creación de informes y alertas. Broker agrega datos que capturan otros dispositivos y orígenes de eventos. Los Brokers agregan datos de Concentrators configurados; los Concentrators agregan datos de Decoders. Por lo tanto, un Broker conecta las distintas áreas de almacenamiento de datos en tiempo real ubicadas en varios pares de Decoder/Concentrator a lo largo de la infraestructura.

  • Alertas en tiempo real. El servicio NetWitness Suite Event Stream Analysis (ESA) proporciona analítica de flujo avanzada, como correlación y procesamiento de eventos complejos, a alto rendimiento y baja latencia. Puede procesar grandes volúmenes de datos de eventos dispares que provienen de Concentrators. ESA utiliza un lenguaje de procesamiento de eventos (EPL) avanzado que permite a los analistas expresar filtrado, agregación, combinaciones, reconocimiento de patrones y correlación en múltiples flujos de eventos dispares. Event Stream Analysis ayuda a realizar detección de incidentes y alertas eficaces.

  • Analítica en tiempo real (análisis automático de eventos). La funcionalidad Detección de amenazas automatizadas de RSA incluye módulos ESA Analytics preconfigurados para detectar el tráfico de comando y control.

  • Servidor de NetWitness. En el Servidor de NetWitness se proporciona Reporting, Investigation, Administration y otros aspectos de la interfaz del usuario.

  • Capacidad. NetWitness Suite cuenta con una arquitectura de capacidad modular, habilitada con capacidad de conexión directa (DAC) o redes de almacenamiento SAN, que se adapta a las necesidades de investigación a corto plazo y de retención de datos y analítica a más largo plazo.

NetWitness Suite ofrece gran flexibilidad de implementación. En el diseño de su arquitectura, puede usar varias docenas de hosts físicos o un único host físico en función de los detalles específicos de los requisitos de rendimiento y seguridad del cliente. Además, todo el sistema NetWitness Suite se optimizó para su ejecución en una infraestructura virtualizada.

La arquitectura del sistema incluye estos componentes principales: Decoders, Brokers, Concentrators, Archivers, ESA y Warehouse Connectors. Los componentes de NetWitness Suite se pueden utilizar en conjunto como un sistema o de manera individual.

  • En una implementación de información de seguridad y administración de eventos (SIEM), la configuración básica requiere estos componentes: Log Decoder, Concentrator, Broker, Event Stream Analysis (ESA) y el Servidor de NetWitness.
  • En una implementación de análisis forense, la configuración básica requiere estos componentes: Decoder, Concentrator, Broker, ESA, Malware Analysis y Endpoint Hybrid o Endpoint Log Hybrid. El servicio Servidor de Respond también se requiere y se utiliza para dar prioridad a las alertas.

La tabla proporciona una sinopsis de cada componente principal:

                                                  
Componente del sistemaDescripción
Decoder/Log Decoder
  • NetWitness Suite recopila datos de paquetes, registros y terminales. 
  • Los datos de paquetes, es decir, paquetes de red, se recopilan mediante Decoder a través del puerto TAP o SPAN de la red, el cual normalmente se determina que es un punto de salida en la red de una organización. 
  • Un Log Decoder puede recopilar cuatro tipos de registro diferentes: syslog, ODBC, eventos de Windows y archivos planos.
  • Eventos de Windows se refiere a la metodología de recopilación de Windows 2008 y los archivos planos puede obtenerse a través de SFTP. 
  • Ambos tipos de Decoders recopilan datos transaccionales crudos que se enriquecen, cierran y agregan a otros componentes de NetWitness Suite.
  • El proceso de recopilación y análisis de datos transaccionales es una plataforma dinámica y abierta.
Endpoint Hybrid o Endpoint Log Hybrid
  • Recopilan y administran datos de terminales desde los hosts.

  • Generan metadatos para investigación, análisis, alertas e informes.
  • Recopilan registros de hosts de Windows y todos los demás orígenes de eventos que son compatibles con la recopilación de registros en NetWitness Suite.
Concentrator
  • Proporciona la funcionalidad de índice y consulta para las recopilaciones de NetWitness. 
  • Opcionalmente, puede enviar datos a ESA.

Broker

  • Distribuye el acceso a la recopilación de NetWitness en muchos Concentrators o Archivers, lo que hace que la empresa de NetWitness Suite completa aparezca como una única recopilación.
Archiver
  • El servicio Archiver permite el archiving de registros a largo plazo mediante la indexación y la compresión de datos del registro y su envío a almacenamiento para archiving.  
  • El almacenamiento de archiving se optimiza para la retención de datos a largo plazo y los informes de cumplimiento de normas.  
  • Archiver almacena registros crudos y metadatos de registros de Log Decoders para la retención a largo plazo y utiliza capacidad de conexión directa (DAC) para el almacenamiento.

    Nota: Los paquetes crudos y los metadatos de paquetes no se almacenan en el Archiver.

Event Stream Analysis (ESA)
  • El servicio Event Stream Analysis proporciona analítica de flujo de eventos, como correlación y procesamiento de eventos complejos, a alto rendimiento y baja latencia. Puede procesar grandes volúmenes de datos de eventos dispares que provienen de Concentrators.
  • ESA utiliza un lenguaje de procesamiento de eventos avanzado que permite a los usuarios expresar filtrado, agregación, combinaciones, reconocimiento de patrones y correlación en múltiples flujos de eventos dispares. 
  • ESA ayuda a ejecutar detección de incidentes y alertas eficaces.
  • La funcionalidad Detección de amenazas automatizadas de RSA incluye módulos ESA Analytics preconfigurados para detectar el tráfico de comando y control.

Componentes principales frente a descendentes

En NetWitness Suite, los servicios principales recopilan y analizan datos, generan metadatos y agregan los metadatos generados con los datos crudos. Entre los servicios Core se incluyen Decoder, Log Decoder, Concentrator y Broker. Los sistemas descendentes usan los datos almacenados en los servicios principales para analítica. Por lo tanto, las operaciones de los servicios descendentes dependen de los servicios principales. Los sistemas descendentes son Archiver, ESA, Malware Analysis, Investigate y Reporting. 

Aunque los servicios principales pueden funcionar y proporcionar una buena solución de analítica sin los sistemas descendentes, los componentes descendentes ofrecen funciones de analítica adicionales. ESA proporciona correlación en tiempo real entre sesiones y eventos, y también entre distintos tipos de eventos, como datos de registros, paquetes y terminales. Investigate brinda la capacidad de desglosar a datos, examinar eventos y archivos, y reconstruir eventos en un ambiente seguro. El servicio de Malware Analysis ofrece inspección automatizada en tiempo real de actividad maliciosa en sesiones de red y archivos asociados.

You are here
Table of Contents > Introducción de NetWitness Suite

Attachments

    Outcomes