ESA-Konfiguration: Zuordnen von ESA-Datenquellen zu Analytics-Modulen

 

In diesem Thema erfahren Administratoren, wie sie bestimmte ESA Analytics-Module verschiedenen Datenquellen und ESA Analytics-Services zuordnen können, um die Verarbeitung effizienter zu gestalten.

Sie können die Daten auf einem oder mehreren Concentrators mit der RSA NetWitness Suite-Funktion zur automatischen Bedrohungserkennung analysieren, indem Sie ein vorkonfiguriertes ESA Analytics-Modul auswählen. Die mit diesen Modulen analysierten Daten werden zum Identifizieren von Advanced Threats verwendet. Um Netzwerkressourcen besser nutzen zu können und unnötige Datenflüsse zu reduzieren, können Sie mehrere Datenquellen wie Concentrators mehreren ESA Analytics-Services zuordnen, um Daten effizienter zu verarbeiten und zusätzliche Kapazitäten zu nutzen.

Ein ESA Analytics-Modul ist eine Pipeline aus Aktivitätsobjekten, die ein Ereignis durch mathematische Berechnungen um zusätzliche Informationen ergänzen. ESA Analytics-Module befinden sich in den ESA Analytics-Services.

Bei der Bereitstellung einer Zuordnung nutzt der ausgewählte ESA Analytics-Service die abfragebasierte Aggregation, um die entsprechenden gefilterten Ereignisse für das ausgewählte Modul von den Concentrators zu erfassen. Abfragebasierte Aggregation ist eine vordefinierte Abfrage, die nur für das ausgewählte ESA Analytics-Modul Daten überträgt. Nur die vom Modul benötigten Daten werden zwischen dem Concentrator und dem ESA Analytics-System übertragen.

Derzeit sind zwei ESA Analytics-Module für verdächtige Domains verfügbar: C2 für Pakete (http-packet) und C2 für Protokolle (http-log).

Modulbereitstellungsbeispiel: zwei ESAs

Um die zusätzliche Concentrator-Kapazität zu nutzen, können Sie ein ESA Analytics-Modul einem ESA Analytics-Service zuordnen und es zur Analyse von Daten aus verschiedenen Datenquellen zur gleichen Zeit bereitstellen.

Wenn Sie z. B. über drei Concentrators und zwei ESA Analytics-Services verfügen, können Sie die folgenden Zuordnungen erstellen und bereitstellen:

• Ordnen Sie Modul 1 den Quellen Concentrator 1 und 2 sowie dem ESA-Analytics-Service 1 zu. ESA Analytics Service 1 analysiert die von Modul 1 gefilterten Ereignisse aus den Concentrators 1 und 2.
• Ordnen Sie Modul 2 den Quellen Concentrator 2 und 3 sowie dem ESA-Analytics-Service 2 zu. ESA Analytics Service 2 analysiert die von Modul 2 gefilterten Ereignisse aus den Concentrators 2 und 3.

In diesem Beispiel steht Modul 1 für ein ESA Analytics-Modul, z. B. C2 für Pakete (http-packet), und Modul 2 steht für ein anderes ESA Analytics-Modul, z. B. C2 für Protokolle (http-logs) an einen anderen Speicherort.

Dieses Beispiel zeigt, wie beide Services Daten aus dem gleichen Concentrator verarbeiten können. Beachten Sie, dass die beiden ESA Analytics-Services 1 und 2 Prozessdaten aus Concentrator 2 verarbeiten können. ESA Analytics-Service 1 fragt Daten für Ereignisse von Modul 1 ab und ESA Analytics-Service 2 andere Daten für Ereignisse von Modul 2.

Modulbereitstellungsbeispiel: ein ESA

Neben der Erstellung von Modulzuordnungen, die von verschiedenen ESA Analytics-Services verarbeitet werden, können Sie dem gleichen ESA Analytics-Service mehrere Module zuordnen.

Wenn Sie z. B. über drei Concentrators und einen ESA Analytics-Service verfügen, können Sie die folgenden Zuordnungen erstellen und bereitstellen:

• Ordnen Sie Modul 1 den Quellen Concentrator 1 und 2 sowie dem ESA-Analytics-Service 1 zu. ESA Analytics-Service 1 analysiert die von Modul 1 gefilterten Ereignisse aus den Concentrators 1 und 2.
• Ordnen Sie Modul 2 den Quellen Concentrator 2 und 3 sowie dem ESA-Analytics-Service 1 zu. ESA Analytics-Service 1 verarbeitet außerdem die von Modul 2 gefilterten Ereignisse aus den Concentrators 2 und 3.

Dieses Beispiel zeigt, wie ein Service Daten von mehr als einem Modul verarbeiten kann. Beachten Sie, dass ESA Analytics-Service 1 Prozessdaten aus Concentrator 1 und 2 für Modul 1 verarbeiten kann. Er verarbeitet außerdem die Daten von Concentrator 2 und 3 für Modul 2. ESA Analytics-Service 1 fragt Daten für Ereignisse von Modul 1 ab und andere Daten für Ereignisse von Modul 2.

Achtung: Stellen Sie sicher, dass alle NetWitness Suite-Hostservices mit einer konsistenten Zeitquelle synchronisiert werden.

Voraussetzungen

• Alle NetWitness Suite-Hostservices müssen mit einer konsistenten Zeitquelle synchronisiert werden.
• Concentrator-Hosts und -Services müssen erkannt werden und in der NetWitness Suite-Benutzeroberfläche verfügbar sein.
• Alle modulspezifischen Anforderungen müssen eingehalten werden.
  • Für das Modul „Suspicious Domains“:
    • Konfigurieren Sie die Einstellungen für Protokolle („Suspicious Domains“ nur für Protokolle).
    • Erstellen Sie eine Whitelist (optional) mithilfe des Service „Context Hub“.
    • Konfigurieren des Whois-Abfrageservice.
    • Überprüfen Sie, ob die C2-Incident Regel aktiviert ist, und überwachen Sie sie auf Aktivität.
    • Überprüfen Sie, ob Incidents nach verdächtigen C&C gruppiert sind.

  Eine schrittweise Anleitung finden Sie im Leitfaden NetWitness Suite Automatisierte Bedrohungserkennung.

Erstellen von ESA Analytics-Zuordnungen

Das folgende Verfahren dient zur Zuordnung von ESA Analytics-Modulen zu Quellen und Services. Nach dem Erstellen und Überprüfen der Zuordnungen stellen Sie diese bereit, damit sie mit der Aggregation von Daten beginnen können.

1. Navigieren Sie zu ADMIN > SYSTEM und wählen Sie im Bereich „Optionen“ ESA Analytics aus.
   Der Bereich ESA Analytics-Zuordnungen wird angezeigt.
   
2. Klicken Sie auf , um eine ESA Analytics-Zuordnung zu erstellen. Erstellen Sie eine separate Zuordnung für jedes Modul.
   Das Dialogfeld Zuordnungen erstellen wird angezeigt.
   
3. Wählen Sie in der Auswahlliste Modul ein Modul aus.
4. Konfigurieren Sie eine oder mehrere Datenquellen (Concentrators) für Ihre Zuordnungen. Gehen Sie für jeden Concentrator wie folgt vor:
   1. Klicken Sie auf .
      Das Dialogfeld „Verfügbare Quellen“ zeigt die Datenquellen an, die aus der Ansicht „Admin > Services“ zur Verfügung stehen.
      
   2. Wählen Sie im Dialogfeld Verfügbare Quellen einen Concentrator aus und klicken Sie auf OK.
      Das Dialogfeld „Quelle hinzufügen“ wird angezeigt.
      
   3. Im Dialogfeld Quelle hinzufügen geben Sie den Benutzernamen und das Passwort für den Concentrator ein.
   4. Klicken Sie auf Verbindungstest, um sicherzustellen, dass die Quelle mit dem ESA Analytics-Service kommunizieren kann.
      
   5. Klicken Sie auf OK.
      Nachdem Sie die Datenquellen konfiguriert haben und diese in der Liste „Quellen“ angezeigt werden, können Sie sie für weitere Zuordnungen wiederverwenden.
5. Wählen Sie in der Liste Quellen eine oder mehrere Datenquellen zum Aggregieren von Daten für das Modul aus.
   
   Ein vollfarbiger grüner Kreis zeigt an, dass ein Service ausgeführt wird, und ein weißer Kreis zeigt einen gestoppten Service an.
6. In der Liste Service wählen Sie einen ESA Analytics-Service zum Verarbeiten der Daten für das Modul aus.
7. Geben Sie falls nötig die Zeit an, die zur Abfrage von Daten aus den ausgewählten Concentrators verwendet werden soll:

   Feld	Beschreibung
   Aufwärmzeit (Stunden)	Gibt eine Dauer für die Aufwärmphase (in Stunden) an. Eine Aufwärmphase ist erforderlich, damit die automatisierte Bedrohungserkennung Ihren Datenverkehr „kennenlernen“ kann. Die Aufwärmphase sollte ausgeführt werden, wenn der typische Datenverkehr ausgeführt wird. Während dieser Zeit werden Warnmeldungen für die Zuordnung von Modulen unterdrückt. Die Aufwärmzeit bereitet das Modul mit Verlaufsdaten vor und sorgt dafür, dass die Datenerfassung auch wirklich die angegebene Anzahl an Stunden dauert, bevor Warnmeldungen gesendet werden. RSA bietet vorkonfigurierte ESA Analytics-Module. Für jeden Modultyp ist eine standardmäßige Aufwärmphase definiert, die Sie bei Bedarf an Ihre Umgebung anpassen können. Nach dieser Aufwärmphase können Warnmeldungen angezeigt werden. Weitere Informationen zu Aufwärmphase und Verzögerungszeit finden Sie unter Moduleinstellungen.
   Verzögerungszeit (Minuten)	Gibt eine konstante Verzögerungszeit in Minuten an, die hinzugefügt wird, um zu vermeiden, dass Ereignisse, die in Zeiten mit hoher Aktivität von den Datenquellen verarbeitet werden, verloren gehen. Beispielsweise variiert die Concentrator-Performance in Abhängigkeit von Faktoren wie der eingehenden Last, laufenden Abfragen und Indexierung. Aufgrund von diesen Faktoren aggregiert ein Concentrator Ereignisse möglicherweise nicht in Echtzeit, was zu der Verzögerung führt. Der Verzögerungsparameter verschafft dem Concentrator die Möglichkeit, die Aggregation aller Daten abzuschließen. Nach Abschluss der Aufwärmphase wird die Datenaggregation mit der aktuellen (System-)Zeit – Verzögerungszeit fortgesetzt. Das ist hilfreich, wenn ein Concentrator bei der Datenaggregation langsam ist. Die Verzögerungszeit stellt sicher, dass das Modul keine Daten verarbeitet, die innerhalb des Verzögerungszeitfensters auf dem Concentrator eintreffen. Auf diese Weise ist eine ausreichende Verzögerung gegeben, damit alle Ereignisse, die im Unternehmen erzeugt werden, vom Modul verarbeitet werden können. Wenn beispielsweise für die Verzögerung 30 Minuten und für die aktuelle Zeit 14:00 Uhr angegeben werden, beginnt der Concentrator um 13:30 Uhr mit dem Abrufen von Datensätzen. Das Verzögerungszeitfenster, in diesem Beispiel 30 Minuten, bleibt im Zeitverlauf konstant. Wenn die aktuelle Zeit auf 14:01 Uhr vorrückt, ruft der Concentrator die nächste Minute von Daten um 13:31 Uhr ab und so weiter. Wichtig: Die Verzögerungszeit definiert den Puffer zwischen der aktuellen Zeit und der Zeit, zu der das Modul die Daten aufnimmt. Achtung: RSA empfiehlt, dass Administratoren die Verzögerungsparameter basierend auf der Performance jedes einzelnen Concentrator dynamisch anpassen, um zu vermeiden, während der Aggregation Ereignisse zu vergessen. Weitere Informationen zu Aufwärmphase und Verzögerungszeit finden Sie unter Moduleinstellungen.

8. Klicken Sie auf Erstellen.
   Die Zuordnungen, die Sie erstellen, werden in der Liste der vorhandenen Zuordnungen mit dem Status Nicht bereitgestellt angezeigt.
   
   Wichtig: Um ein Modul so zu starten, dass es mit der Aggregation von Daten beginnt, müssen Sie es bereitstellen.

Bereitstellen von ESA Analytics-Zuordnungen

Nachdem Sie Ihre Zuordnungen erstellt haben, müssen Sie sie bereitstellen, um die Aggregation von Daten für die Module starten zu können.

1. Überprüfen Sie in der Liste der Zuordnungen, ob der Status der Zuordnungen, die Sie bereitstellen möchten, Nicht bereitgestellt lautet.
   
2. Wählen Sie eine oder mehrere Zuordnungen mit dem Status „Nicht bereitgestellt“ aus und klicken Sie auf Jetzt bereitstellen.
   Alle ausgewählten Zuordnungen mit dem Status „Nicht bereitgestellt“ beginnen mit dem Aggregieren von Daten, wie in der Zuordnung konfiguriert. Der Zuordnungsstatus ändert sich zu Bereitgestellt.
   Sie können keine Zuordnung bereitstellen, die bereits bereitgestellt wurde.

Aktualisieren einer Zuordnung

Pro Modul ist nur eine Zuordnung zulässig. Wenn Sie Änderungen an einer bereitgestellten Zuordnung vornehmen möchten, z. B. Concentrators hinzufügen oder entfernen oder den Service ändern, müssen Sie die Bereitstellung der vorhandenen Zuordnung aufheben und die Zuordnung löschen und dann eine neue Zuordnung für dieses Modul erstellen und bereitstellen.

Sie können die folgenden Aktualisierungen an einer bereitgestellten Zuordnung vornehmen, ohne sie zu löschen:

• Aufheben der Bereitstellung einer Zuordnung
• Ändern der Aufwärmphase und der Verzögerungszeit

Sie können auch die Aufwärmphase und die Verzögerungszeit für eine nicht bereitgestellte Modulzuordnung ändern.

Aufheben der Bereitstellung einer Zuordnung

Wenn Sie das Aggregieren von Daten für eine Modulzuordnung beenden, die Zuordnung aber nicht löschen möchten, können Sie die Bereitstellung aufheben. Dies bietet Ihnen die Möglichkeit, sie zu einem späteren Zeitpunkt bereitzustellen. Wenn Sie die Bereitstellung einer Zuordnung aufheben, stoppt der angegebene ESA Analytics-Service das Abrufen von Daten aus den Datenquellen für dieses Modul.

Achtung: Das Aufheben der Bereitstellung einer Zuordnung mit dem Status „Bereitgestellt“ wirkt sich auf die Datenaggregation für dieses Modul aus.

So heben Sie die Bereitstellung einer Zuordnung auf:

1. Wählen Sie im Bereich „ESA Analytics-Zuordnungen“ die Zuordnung aus, deren Bereitstellung Sie aufheben möchten.
2. Wählen Sie in der Spalte Aktionen die Option > Bereitstellung aufheben aus.
   Der Status ändert sich von „Bereitgestellt“ zu „Nicht bereitgestellt“ und die Datenaggregation wird beendet.

Löschen einer Zuordnung

Sie können eine Zuordnung mit dem Status „Nicht bereitgestellt“ zu einem beliebigen Zeitpunkt löschen. Da eine Zuordnung mit dem Status „Nicht bereitgestellt“ nicht ausgeführt wird, ergeben sich keine Auswirkungen auf die Datenaggregation.

Sie müssen die Bereitstellung einer Zuordnung mit dem Status „Bereitgestellt“ aufheben, bevor Sie sie löschen. Durch das aufheben der Bereitstellung und das Löschen einer bereitgestellten Zuordnung wird die Konfiguration auf dem ESA-Server gelöscht, die Bereitstellung für diese Zuordnung zurückgesetzt und das Abrufen von Daten aus der Datenquelle für dieses Modul gestoppt.

Achtung: Das Aufheben der Bereitstellung und das Löschen einer Zuordnung wirkt sich auf die Datenaggregation für dieses Modul aus.

So löschen Sie eine Zuordnung:

1. Wählen Sie im Bereich „ESA Analytics-Zuordnungen“ die Zuordnung aus, die Sie löschen möchten. Sie können jeweils immer nur eine Zuordnung löschen.
2. Klicken Sie auf .

Ändern der Aufwärmphase und der Verzögerungszeit

Eventuell möchten Sie die Aufwärmphase für eine spezifische Modulzuordnung anpassen. Zum Beispiel können Sie, nachdem die Aufwärmphase abgeschlossen ist, die Einstellung für die Aufwärmphase erhöhen, um zusätzliche Aufwärmzeit zu ermöglichen. Sie können die Aufwärmphase sogar dann verlängern, wenn die Modulzuordnung aktiv aufgewärmt wird.

Falls erforderlich, können Sie die Verzögerungszeit für das Modul ändern. Die Verzögerungszeit definiert den Puffer zwischen der aktuellen Zeit (Systemzeit) und der Zeit, zu der das Modul die Daten aufnimmt.

1. Wählen Sie im Bereich „ESA Analytics-Zuordnungen“ die Zuordnung aus, die Sie ändern möchten, und wählen Sie in der Spalte Aktionen die Option > Modul bearbeiten.
   Das Dialogfeld „Moduleinstellungen“ zeigt das ausgewählte Modul, den ESA Analytics-Service und die Datenquellen für die Zuordnung an. Die Datenquellen zeigen die für die Kommunikation mit ESA verwendeten URLs an.
   
2. Überprüfen Sie den Abschnitt Aufwärmzustand, um den aktuellen Aufwärmzustand zu bestimmen:
   • Aufwärmen gestartet um – Die Zeit, zu der das erste Event vom ESA Analytics-Modul aus der Datenquelle verarbeitet wurde.
   • Zeit des ersten Ereignisses – Die Uhrzeit des ersten Ereignisses. Die Aufwärmphase basiert auf dieser Uhrzeit.
   • Zeit des letzten Ereignisses – Die Uhrzeit des letzten Ereignisses.
   • Verbleibende Aufwärmzeit – Die Anzahl der in der Aufwärmphase verbleibenden Stunden.
   • Abgeschlossen? – Gibt an, ob die Aufwärmphase abgeschlossen ist. Bei „true“ ist die Aufwärmphase abgeschlossen. Bei „false“ wird das Modul weiterhin aufgewärmt und Sie können die Anzahl der verbleibenden Stunden im Feld „Verbleibende Aufwärmzeit“ anzeigen.
     
3. Im Abschnitt Konfiguration können Sie abhängig davon, ob die Aufwärmphase abgeschlossen ist, die Aufwärmzeit (Stunden) aktualisieren.
   • Während der Aufwärmphase – Sie können der Aufwärmphase Stunden hinzuzufügen oder verbleibende Aufwärmzeit abziehen.
   • Abschluss der Aufwärmphase – Sie können der Aufwärmphase Stunden hinzufügen, indem Sie die Differenz zwischen der aktuellen Zeit und der Zeit des ersten Ereignisses zu den Stunden hinzufügen, die Sie hinzufügen möchten.
     Zum Beispiel ist eine Aufwärmphase 10 Stunden abgeschlossen und die Zeit des ersten Ereignisses lautet 12:00:00. Die aktuelle Zeit lautet 16:00:00 (4 Stunden später) und Sie möchten der Aufwärmphase 5 weitere Stunden hinzufügen. Um dies zu erreichen, müssen Sie der Aufwärmphase von 10 Stunden 9 Stunden hinzufügen (4+5 = 9), sodass die neue Aufwärmphase auf 19 Stunden festgelegt wird.
     Sie können die Aufwärmphase nicht reduzieren, wenn sie abgeschlossen ist, sofern Sie nicht die Zuordnung löschen und eine neue erstellen.
     
4. Falls erforderlich, ändern Sie die Verzögerungszeit (Minuten), um den Concentrators in der Zuordnung zusätzliche Zeit zum Fertigstellen der Aggregation aller Daten zu bieten.
5. Klicken Sie auf Speichern.
   Die Änderungen treten nicht sofort in Kraft. Damit die Einstellungen wirksam werden, müssen Sie die Bereitstellung aufheben und die Zuordnung erneut bereitstellen.
6. Um die Bereitstellung einer Zuordnung aufzuheben, wählen Sie im Bereich „ESA Analytics-Zuordnungen“ die entsprechende Zuordnung aus und klicken dann auf > Bereitstellung aufheben.
   Die Datenaggregation wird für die ausgewählte Zuordnung beendet.
7. Wenn Sie die Zuordnung erneut bereitstellen möchten, wählen Sie sie aus und klicken auf > Bereitstellen.
   Die ausgewählte Zuordnung wird bereitgestellt und beginnt mit dem Aggregieren von Daten, wie in der Zuordnung konfiguriert.