Nota: Estas recomendaciones satisfacen las condiciones de RSA Security Analytics versión 10.6.3. Se pueden utilizar como base para 11.0.0.0 y ajustar según sea necesario.
Nota: Para obtener una descripción de los términos y las abreviaturas que se usan en este tema, consulte Abreviaturas y otra terminología que se usan en esta guía.
En este tema se enumeran los ajustes de configuración mínimos recomendados de la instancia de AWS para los componentes de la plataforma virtual de RSA NetWitness® Suite.
-
Instancia de EC2:
- Tipo de instancia mínimo: m4-2xlarge es el tipo de instancia mínimo requerido para que cualquier AMI de componente de NetWitness Suite pueda funcionar.
- Ajustes de tipo de instancia: Debe ajustar los tipos de instancia según la tasa de recopilación, el contenido y los analizadores, los informes de tablero, los informes programados, las investigaciones y los usuarios activos.
- Configuración recomendada: La configuración recomendada en las tablas de instancia de componente de SA que aparece a continuación se calculó en las siguientes condiciones.
- Se usaron tasas de recopilación de 15,000 EPS y 1.5 Gb/s.
- Todos los componentes estaban integrados.
- El flujo de registros incluía un Log Decoder, un Concentrator y un Archiver.
El flujo de paquetes incluía un Packet Decoder y un Concentrator.
- Respond recibía alertas de Reporting Engine y Event Stream Analysis.
- La carga en segundo plano incluía informes, gráficos, alertas, investigation y respond.
-
Volúmenes de EBS (almacenamiento)
Póngase en contacto con el servicio al cliente de RSA (https://community.rsa.com/docs/DOC-1294) para obtener ayuda sobre cómo aumentar el número de volúmenes en función de sus requisitos de almacenamiento mediante Sizing & Scoping Calculator de RSA.
Nota: El volumen de índice del Concentrator se debe asignar en el disco SSD de IOPS aprovisionado.
- Índice
- Metadatos
- Sesión
- Packet
Archiver
Broker
Concentrator: Flujo de registros
Soluciones de flujo de paquetes
Concentrator: Solución de Gigamon
Concentrator: Solución de f5 BIG-IP
Se actualizará cuando se completen las pruebas de rendimiento de f5 BIG-IP.
Decoder: Solución de Gigamon
Decoder: Solución de f5 BIG-IP
Se actualizará cuando se completen las pruebas de rendimiento de f5 BIG-IP.
ESA y Context Hub en base de datos de Mongo
Log Collector (Syslog, Netflow y protocolos de recopilación de archivos)
Log Decoder
Servidor de NetWitness, Reporting Engine, Respond y Estado y condición