Übersicht über Warehouse Connector

Document created by RSA Information Design and Development on May 10, 2018
Version 1Show Document
  • View in full screen mode
 

Warehouse Connector sammelt Metadaten und Ereignisse der Decoder und Log Decoder und schreibt sie im AVRO-Format in ein Hadoop-basiertes, dezentralisiertes Rechnersystem. Sie können Warehouse Connector als Service auf Ihren vorhandenen Log Decoder oder Decoder einrichten.

Der Warehouse Connector umfasst die folgenden Komponenten:

  • Datenquelle
  • Ziel
  • Datenstream

Datenquelle

Eine Datenquelle ist der Service, von dem der Warehouse Connector Daten erfasst, um sie am Ziel zu speichern. Unterstützte Datenquellen sind Log Decoder- und Decoder-Services. Der Log Decoder erfasst Protokollereignisse und der Decoder ausschließlich Pakete und Metadaten.

Ziel

Beim Ziel handelt es sich um das verteilte Rechnersystem auf Hadoop-Basis, das Sicherheitsdaten sammelt und managt sowie Berichte dazu erstellt. Folgende Ziele werden unterstützt:

  • Bereitstellungen von RSA NetWitness Warehouse (MapR)
  • HortonWorks Data Platform
  • Verteilte Rechensysteme auf Hadoop-Basis, die WebHDFS- oder NFS-Mounting von HDFS-Dateisystemen unterstützen 
    • Beispiel: Kommerzielle MapR M5 Enterprise Edition für Apache Hadoop

Datenstreams

Bei einem Datenstream handelt es sich um eine logische Verbindung zwischen der Datenquelle und dem Ziel. Es sind mehrere Datenstreams für unterschiedliche Untergruppen der gesammelten Daten möglich. Datenstreams können so eingerichtet werden, dass die Daten von mehreren Decoder- und Log Decoder-Services voneinander getrennt werden. Ein Datenstream kann mit mehreren Datenquellen und einem Ziel oder mit nur einer Datenquelle und einem Ziel erstellt werden.

Der Warehouse Connector führt folgende Aufgaben aus:

  • Aggregieren von Sitzungsdaten und Rohprotokolldaten aus Decodern und Log Decodern
  • Übertragen der aggregierten Daten in unterstützte Ziele wie Hadoop-basierte Bereitstellungen
  • Serialisieren der aggregierten Daten, die sowohl das Schema als auch Daten enthalten, in das AVRO-Format

Darüber hinaus unterstützt der Warehouse Connector auch Folgendes:

Metadatenfilter

Mit Metadatenfiltern können Sie die Metaschlüssel filtern, die in Warehouse geschrieben werden sollen. Weitere Informationen finden Sie unter Festlegen von Metafiltern für einen Stream.

Unterstützung für mehrwertige Metaschlüssel

RSA NetWitness Warehouse unterstützt mehrwertige Metaschlüssel. Bei mehrwertigen Metaschlüsseln handelt es sich um das Metadatenfeld mit dem Typ „Array“. Über die Metaschlüsselbibliothek können Sie die Metadatenfelder mit dem Typ „Array“ bestimmen und HIVE-Abfragen mit der korrekten Syntax für Arrays schreiben. Standardmäßig werden die folgenden Metaschlüssel als mehrwertige Metadaten angesehen. Diese sind in der Datei multivalue-bootstrap.xml im Verzeichnis /etc/netwitness/ng in Warehouse Connector definiert:

  • alias.host
  • Aktion
  • username
  • alias.ip
  • alias.ipv6
  • email
  • device.group

  • event.class

Prüfsummenvalidierung

Mit Warehouse Connector können Sie die Dateiintegrität der AVRO-Dateien validieren, die von Warehouse Connector an die Datenziele übertragen werden. Bei der Konfiguration von Warehouse Connector müssen Sie die Prüfsummenvalidierung aktivieren.

Lockbox-Unterstützung

Die Lockbox enthält eine verschlüsselte Datei, mit der Warehouse Connector sensible Daten speichert und schützt. Wenn Sie Warehouse Connector das erste Mal konfigurieren, müssen Sie die Lockbox erstellen, indem Sie ein Lockbox-Passwort angeben.

Sie können Warehouse Connector implementieren, indem Sie diesen als Service auf Ihren vorhandenen Log Decoder- oder Decoder-Hosts einrichten. 

Die folgende Abbildung stellt eine Übersicht über den gesamten Prozess dar: Installation und Konfiguration des Warehouse Connector-Services auf Log Decoder oder Decoder, Konfiguration des Warehouse Connector-Services auf NetWitness, Konfiguration der Datenquellen, Ziele und Streams für Warehouse Connector sowie Konfiguration der Warnmeldungsbenachrichtigungen für NetWitness.

Führen Sie zum Installieren und Konfigurieren des Warehouse Connector-Services die folgenden Schritte aus:

  1. Installieren des Warehouse Connector-Services auf einem Log Decoder oder Decoder
  2. Konfigurieren eines Warehouse Connector-Services
  3. Konfigurieren der Datenquelle für Warehouse Connector
  4. Konfigurieren eines Ziels
  5. Konfigurieren eines Streams
  6. Überwachen von Warehouse Connector
  7. Hinzufügen von Warehouse als Datenquelle zur Reporting Engine
  8. Analysieren eines Warehouse-Berichts
  9. Managen eines Streams und einer Lockbox
You are here
Table of Contents > Funktionsweise von Warehouse Connector

Attachments

    Outcomes