In diesem Thema erfahren Administratoren, wie sie bestimmte ESA Analytics-Module verschiedenen Datenquellen und ESA Analytics-Services zuordnen können, um die Verarbeitung effizienter zu gestalten.
Sie können die Daten auf einem oder mehreren Concentrators mit der RSA NetWitness Suite-Funktion zur automatischen Bedrohungserkennung analysieren, indem Sie ein vorkonfiguriertes ESA Analytics-Modul auswählen. Die mit diesen Modulen analysierten Daten werden zum Identifizieren von Advanced Threats verwendet. Um Netzwerkressourcen besser nutzen zu können und unnötige Datenflüsse zu reduzieren, können Sie mehrere Datenquellen wie Concentrators mehreren ESA Analytics-Services zuordnen, um Daten effizienter zu verarbeiten und zusätzliche Kapazitäten zu nutzen.
Ein ESA Analytics-Modul ist eine Pipeline aus Aktivitätsobjekten, die ein Ereignis durch mathematische Berechnungen um zusätzliche Informationen ergänzen. ESA Analytics-Module befinden sich in den ESA Analytics-Services.
Bei der Bereitstellung einer Zuordnung nutzt der ausgewählte ESA Analytics-Service die abfragebasierte Aggregation, um die entsprechenden gefilterten Ereignisse für das ausgewählte Modul von den Concentrators zu erfassen. Abfragebasierte Aggregation ist eine vordefinierte Abfrage, die nur für das ausgewählte ESA Analytics-Modul Daten überträgt. Nur die vom Modul benötigten Daten werden zwischen dem Concentrator und dem ESA Analytics-System übertragen.
Derzeit sind zwei ESA Analytics-Module für verdächtige Domains verfügbar: C2 für Pakete (http-packet) und C2 für Protokolle (http-log).
Modulbereitstellungsbeispiel: zwei ESAs
Um die zusätzliche Concentrator-Kapazität zu nutzen, können Sie ein ESA Analytics-Modul einem ESA Analytics-Service zuordnen und es zur Analyse von Daten aus verschiedenen Datenquellen zur gleichen Zeit bereitstellen.
Wenn Sie z. B. über drei Concentrators und zwei ESA Analytics-Services verfügen, können Sie die folgenden Zuordnungen erstellen und bereitstellen:
- Ordnen Sie Modul 1 den Quellen Concentrator 1 und 2 sowie dem ESA-Analytics-Service 1 zu. ESA Analytics Service 1 analysiert die von Modul 1 gefilterten Ereignisse aus den Concentrators 1 und 2.
- Ordnen Sie Modul 2 den Quellen Concentrator 2 und 3 sowie dem ESA-Analytics-Service 2 zu. ESA Analytics Service 2 analysiert die von Modul 2 gefilterten Ereignisse aus den Concentrators 2 und 3.
In diesem Beispiel steht Modul 1 für ein ESA Analytics-Modul, z. B. C2 für Pakete (http-packet), und Modul 2 steht für ein anderes ESA Analytics-Modul, z. B. C2 für Protokolle (http-logs) an einen anderen Speicherort.
Dieses Beispiel zeigt, wie beide Services Daten aus dem gleichen Concentrator verarbeiten können. Beachten Sie, dass die beiden ESA Analytics-Services 1 und 2 Prozessdaten aus Concentrator 2 verarbeiten können. ESA Analytics-Service 1 fragt Daten für Ereignisse von Modul 1 ab und ESA Analytics-Service 2 andere Daten für Ereignisse von Modul 2.
Modulbereitstellungsbeispiel: ein ESA
Neben der Erstellung von Modulzuordnungen, die von verschiedenen ESA Analytics-Services verarbeitet werden, können Sie dem gleichen ESA Analytics-Service mehrere Module zuordnen.
Wenn Sie z. B. über drei Concentrators und einen ESA Analytics-Service verfügen, können Sie die folgenden Zuordnungen erstellen und bereitstellen:
- Ordnen Sie Modul 1 den Quellen Concentrator 1 und 2 sowie dem ESA-Analytics-Service 1 zu. ESA Analytics-Service 1 analysiert die von Modul 1 gefilterten Ereignisse aus den Concentrators 1 und 2.
- Ordnen Sie Modul 2 den Quellen Concentrator 2 und 3 sowie dem ESA-Analytics-Service 1 zu. ESA Analytics-Service 1 verarbeitet außerdem die von Modul 2 gefilterten Ereignisse aus den Concentrators 2 und 3.
Dieses Beispiel zeigt, wie ein Service Daten von mehr als einem Modul verarbeiten kann. Beachten Sie, dass ESA Analytics-Service 1 Prozessdaten aus Concentrator 1 und 2 für Modul 1 verarbeiten kann. Er verarbeitet außerdem die Daten von Concentrator 2 und 3 für Modul 2. ESA Analytics-Service 1 fragt Daten für Ereignisse von Modul 1 ab und andere Daten für Ereignisse von Modul 2.
Achtung: Stellen Sie sicher, dass alle NetWitness Suite-Hostservices mit einer konsistenten Zeitquelle synchronisiert werden.
Voraussetzungen
- Alle NetWitness Suite-Hostservices müssen mit einer konsistenten Zeitquelle synchronisiert werden.
- Concentrator-Hosts und -Services müssen erkannt werden und in der NetWitness Suite-Benutzeroberfläche verfügbar sein.
- Alle modulspezifischen Anforderungen müssen eingehalten werden.
- Für das Modul „Suspicious Domains“:
- Konfigurieren Sie die Einstellungen für Protokolle („Suspicious Domains“ nur für Protokolle).
- Erstellen Sie eine Whitelist (optional) mithilfe des Service „Context Hub“.
- Konfigurieren des Whois-Abfrageservice.
- Überprüfen Sie, ob die C2-Incident Regel aktiviert ist, und überwachen Sie sie auf Aktivität.
- Überprüfen Sie, ob Incidents nach verdächtigen C&C gruppiert sind.
Eine schrittweise Anleitung finden Sie im Leitfaden NetWitness Suite Automatisierte Bedrohungserkennung.
- Für das Modul „Suspicious Domains“:
Erstellen von ESA Analytics-Zuordnungen
Das folgende Verfahren dient zur Zuordnung von ESA Analytics-Modulen zu Quellen und Services. Nach dem Erstellen und Überprüfen der Zuordnungen stellen Sie diese bereit, damit sie mit der Aggregation von Daten beginnen können.
- Navigieren Sie zu ADMIN > SYSTEM und wählen Sie im Bereich „Optionen“ ESA Analytics aus.
Der Bereich ESA Analytics-Zuordnungen wird angezeigt. - Klicken Sie auf
, um eine ESA Analytics-Zuordnung zu erstellen. Erstellen Sie eine separate Zuordnung für jedes Modul.
Das Dialogfeld Zuordnungen erstellen wird angezeigt. - Wählen Sie in der Auswahlliste Modul ein Modul aus.
- Konfigurieren Sie eine oder mehrere Datenquellen (Concentrators) für Ihre Zuordnungen. Gehen Sie für jeden Concentrator wie folgt vor:
- Klicken Sie auf
.
Das Dialogfeld „Verfügbare Quellen“ zeigt die Datenquellen an, die aus der Ansicht „Admin > Services“ zur Verfügung stehen. - Wählen Sie im Dialogfeld Verfügbare Quellen einen Concentrator aus und klicken Sie auf OK.
Das Dialogfeld „Quelle hinzufügen“ wird angezeigt. - Im Dialogfeld Quelle hinzufügen geben Sie den Benutzernamen und das Passwort für den Concentrator ein.
- Klicken Sie auf Verbindungstest, um sicherzustellen, dass die Quelle mit dem ESA Analytics-Service kommunizieren kann.
- Klicken Sie auf OK.
Nachdem Sie die Datenquellen konfiguriert haben und diese in der Liste „Quellen“ angezeigt werden, können Sie sie für weitere Zuordnungen wiederverwenden.
- Klicken Sie auf
- Wählen Sie in der Liste Quellen eine oder mehrere Datenquellen zum Aggregieren von Daten für das Modul aus.
Ein vollfarbiger grüner Kreis zeigt an, dass ein Service ausgeführt wird, und ein weißer Kreis zeigt einen gestoppten Service an. - In der Liste Service wählen Sie einen ESA Analytics-Service zum Verarbeiten der Daten für das Modul aus.
- Geben Sie falls nötig die Zeit an, die zur Abfrage von Daten aus den ausgewählten Concentrators verwendet werden soll:
- Klicken Sie auf Erstellen.
Die Zuordnungen, die Sie erstellen, werden in der Liste der vorhandenen Zuordnungen mit dem Status Nicht bereitgestellt angezeigt.
Wichtig: Um ein Modul so zu starten, dass es mit der Aggregation von Daten beginnt, müssen Sie es bereitstellen.
Bereitstellen von ESA Analytics-Zuordnungen
Nachdem Sie Ihre Zuordnungen erstellt haben, müssen Sie sie bereitstellen, um die Aggregation von Daten für die Module starten zu können.
- Überprüfen Sie in der Liste der Zuordnungen, ob der Status der Zuordnungen, die Sie bereitstellen möchten, Nicht bereitgestellt lautet.
- Wählen Sie eine oder mehrere Zuordnungen mit dem Status „Nicht bereitgestellt“ aus und klicken Sie auf Jetzt bereitstellen.
Alle ausgewählten Zuordnungen mit dem Status „Nicht bereitgestellt“ beginnen mit dem Aggregieren von Daten, wie in der Zuordnung konfiguriert. Der Zuordnungsstatus ändert sich zu Bereitgestellt.
Sie können keine Zuordnung bereitstellen, die bereits bereitgestellt wurde.
Aktualisieren einer Zuordnung
Pro Modul ist nur eine Zuordnung zulässig. Wenn Sie Änderungen an einer bereitgestellten Zuordnung vornehmen möchten, z. B. Concentrators hinzufügen oder entfernen oder den Service ändern, müssen Sie die Bereitstellung der vorhandenen Zuordnung aufheben und die Zuordnung löschen und dann eine neue Zuordnung für dieses Modul erstellen und bereitstellen.
Sie können die folgenden Aktualisierungen an einer bereitgestellten Zuordnung vornehmen, ohne sie zu löschen:
- Aufheben der Bereitstellung einer Zuordnung
- Ändern der Aufwärmphase und der Verzögerungszeit
Sie können auch die Aufwärmphase und die Verzögerungszeit für eine nicht bereitgestellte Modulzuordnung ändern.
Aufheben der Bereitstellung einer Zuordnung
Wenn Sie das Aggregieren von Daten für eine Modulzuordnung beenden, die Zuordnung aber nicht löschen möchten, können Sie die Bereitstellung aufheben. Dies bietet Ihnen die Möglichkeit, sie zu einem späteren Zeitpunkt bereitzustellen. Wenn Sie die Bereitstellung einer Zuordnung aufheben, stoppt der angegebene ESA Analytics-Service das Abrufen von Daten aus den Datenquellen für dieses Modul.
Achtung: Das Aufheben der Bereitstellung einer Zuordnung mit dem Status „Bereitgestellt“ wirkt sich auf die Datenaggregation für dieses Modul aus.
So heben Sie die Bereitstellung einer Zuordnung auf:
- Wählen Sie im Bereich „ESA Analytics-Zuordnungen“ die Zuordnung aus, deren Bereitstellung Sie aufheben möchten.
- Wählen Sie in der Spalte Aktionen die Option
> Bereitstellung aufheben aus.
Der Status ändert sich von „Bereitgestellt“ zu „Nicht bereitgestellt“ und die Datenaggregation wird beendet.
Löschen einer Zuordnung
Sie können eine Zuordnung mit dem Status „Nicht bereitgestellt“ zu einem beliebigen Zeitpunkt löschen. Da eine Zuordnung mit dem Status „Nicht bereitgestellt“ nicht ausgeführt wird, ergeben sich keine Auswirkungen auf die Datenaggregation.
Sie müssen die Bereitstellung einer Zuordnung mit dem Status „Bereitgestellt“ aufheben, bevor Sie sie löschen. Durch das aufheben der Bereitstellung und das Löschen einer bereitgestellten Zuordnung wird die Konfiguration auf dem ESA-Server gelöscht, die Bereitstellung für diese Zuordnung zurückgesetzt und das Abrufen von Daten aus der Datenquelle für dieses Modul gestoppt.
Achtung: Das Aufheben der Bereitstellung und das Löschen einer Zuordnung wirkt sich auf die Datenaggregation für dieses Modul aus.
So löschen Sie eine Zuordnung:
- Wählen Sie im Bereich „ESA Analytics-Zuordnungen“ die Zuordnung aus, die Sie löschen möchten. Sie können jeweils immer nur eine Zuordnung löschen.
- Klicken Sie auf
.
Ändern der Aufwärmphase und der Verzögerungszeit
Eventuell möchten Sie die Aufwärmphase für eine spezifische Modulzuordnung anpassen. Zum Beispiel können Sie, nachdem die Aufwärmphase abgeschlossen ist, die Einstellung für die Aufwärmphase erhöhen, um zusätzliche Aufwärmzeit zu ermöglichen. Sie können die Aufwärmphase sogar dann verlängern, wenn die Modulzuordnung aktiv aufgewärmt wird.
Falls erforderlich, können Sie die Verzögerungszeit für das Modul ändern. Die Verzögerungszeit definiert den Puffer zwischen der aktuellen Zeit (Systemzeit) und der Zeit, zu der das Modul die Daten aufnimmt.
- Wählen Sie im Bereich „ESA Analytics-Zuordnungen“ die Zuordnung aus, die Sie ändern möchten, und wählen Sie in der Spalte Aktionen die Option
> Modul bearbeiten.
Das Dialogfeld „Moduleinstellungen“ zeigt das ausgewählte Modul, den ESA Analytics-Service und die Datenquellen für die Zuordnung an. Die Datenquellen zeigen die für die Kommunikation mit ESA verwendeten URLs an. - Überprüfen Sie den Abschnitt Aufwärmzustand, um den aktuellen Aufwärmzustand zu bestimmen:
- Aufwärmen gestartet um – Die Zeit, zu der das erste Event vom ESA Analytics-Modul aus der Datenquelle verarbeitet wurde.
- Zeit des ersten Ereignisses – Die Uhrzeit des ersten Ereignisses. Die Aufwärmphase basiert auf dieser Uhrzeit.
- Zeit des letzten Ereignisses – Die Uhrzeit des letzten Ereignisses.
- Verbleibende Aufwärmzeit – Die Anzahl der in der Aufwärmphase verbleibenden Stunden.
- Abgeschlossen? – Gibt an, ob die Aufwärmphase abgeschlossen ist. Bei „true“ ist die Aufwärmphase abgeschlossen. Bei „false“ wird das Modul weiterhin aufgewärmt und Sie können die Anzahl der verbleibenden Stunden im Feld „Verbleibende Aufwärmzeit“ anzeigen.
- Im Abschnitt Konfiguration können Sie abhängig davon, ob die Aufwärmphase abgeschlossen ist, die Aufwärmzeit (Stunden) aktualisieren.
- Während der Aufwärmphase – Sie können der Aufwärmphase Stunden hinzuzufügen oder verbleibende Aufwärmzeit abziehen.
- Abschluss der Aufwärmphase – Sie können der Aufwärmphase Stunden hinzufügen, indem Sie die Differenz zwischen der aktuellen Zeit und der Zeit des ersten Ereignisses zu den Stunden hinzufügen, die Sie hinzufügen möchten.
Zum Beispiel ist eine Aufwärmphase 10 Stunden abgeschlossen und die Zeit des ersten Ereignisses lautet 12:00:00. Die aktuelle Zeit lautet 16:00:00 (4 Stunden später) und Sie möchten der Aufwärmphase 5 weitere Stunden hinzufügen. Um dies zu erreichen, müssen Sie der Aufwärmphase von 10 Stunden 9 Stunden hinzufügen (4+5 = 9), sodass die neue Aufwärmphase auf 19 Stunden festgelegt wird.
Sie können die Aufwärmphase nicht reduzieren, wenn sie abgeschlossen ist, sofern Sie nicht die Zuordnung löschen und eine neue erstellen.
- Falls erforderlich, ändern Sie die Verzögerungszeit (Minuten), um den Concentrators in der Zuordnung zusätzliche Zeit zum Fertigstellen der Aggregation aller Daten zu bieten.
- Klicken Sie auf Speichern.
Die Änderungen treten nicht sofort in Kraft. Damit die Einstellungen wirksam werden, müssen Sie die Bereitstellung aufheben und die Zuordnung erneut bereitstellen. - Um die Bereitstellung einer Zuordnung aufzuheben, wählen Sie im Bereich „ESA Analytics-Zuordnungen“ die entsprechende Zuordnung aus und klicken dann auf
> Bereitstellung aufheben.
Die Datenaggregation wird für die ausgewählte Zuordnung beendet. - Wenn Sie die Zuordnung erneut bereitstellen möchten, wählen Sie sie aus und klicken auf
> Bereitstellen.
Die ausgewählte Zuordnung wird bereitgestellt und beginnt mit dem Aggregieren von Daten, wie in der Zuordnung konfiguriert.