NW: Erste Schritte mit NetWitness Platform

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Jul 10, 2019
Version 6Show Document
  • View in full screen mode
 

Übersicht

RSA NetWitness® Platform ist eine leistungsstarke Suite zur Erkennung von Bedrohungen, mit der Security Operation Center (SOC) Bedrohungen schnell ermitteln, priorisieren und selektieren können. NetWitness Platform unterstützt Sie beim Isolieren und Beheben von bekannten Bedrohungen sowie von denen, die Ihnen bisher unbekannt waren. Es bietet umfassende Einblicke in Pakete, Protokolle und Endpunkte, die einen bisher unerreichten Einblick in Ihr Unternehmen oder Business liefern.

NetWitness Platform ist trotz seiner Leistungsfähigkeit für Tier-1-Analysten einfacher zu verwenden, da es den Prozess der Identifizierung und Priorisierung von verdächtigen Bedrohungen automatisiert. Tier-2- und Tier-3-Analysten können Bedrohungen ermitteln und aufspüren, indem sie nach Ereignissen suchen, die Ergebnisse filtern und anschließend die Ereignisse mit Rekonstruktions- und Analysetools untersuchen.

Architektur

RSA NetWitness Platform ist ein dezentralisiertes und modulares System, das äußerst flexible Bereitstellungsarchitekturen ermöglicht, die anhand der Anforderungen des Unternehmens skaliert werden können. Mit NetWitness Platform können Administratoren drei Arten von Daten aus der Netzwerkinfrastruktur erfassen: Paketdaten, Protokolldaten und Endpunktdaten. Die Architektur weist folgende Hauptmerkmale auf:

  • Dezentralisierte Datensammlung. Die Decoder nimmt Paketdaten auf und der Log Decoder nimmt Protokolldaten auf. Decoder analysieren und rekonstruieren den gesamten Netzwerkdatenverkehr aus den Schichten 2 bis 7 oder Protokoll- und Ereignisdaten aus Hunderten von Geräten und Ereignisquellen, einschließlich NetWitness Endpoint-Daten (falls installiert und konfiguriert). Der Concentrator indiziert aus dem Netzwerk extrahierte Metadaten oder Protokolldaten und stellt sie für unternehmensweite Abfragen und Echtzeitanalysen zur Verfügung. Er erleichtert auch das Reporting und die Erzeugung von Warnmeldungen. Der Broker führt die von anderen Geräten und Ereignisquellen erfassten Daten zusammen. Broker führen Daten aus konfigurierten Concentrators zusammen; Concentrators führen Daten aus Decodern zusammen. Somit ist ein Broker ein Bindeglied zwischen mehreren Echtzeitdatenspeichern, die in den verschiedenen Decoder/Concentrator-Paaren in der gesamten Infrastruktur enthalten sind.

  • Warnung in Echtzeit. Der NetWitness Platform Event Stream Analysis (ESA)-Host bietet erweiterte Streamanalysen wie Korrelation und komplexe Ereignisverarbeitung mit hohen Durchsätzen und niedriger Latenz. Er kann große Mengen unterschiedlicher Ereignisdaten aus Concentrators verarbeiten. ESA verwendet eine erweiterte Ereignisverarbeitungssprache, mit der Analysten die Filterung, Zusammenführung, Verkettung, Mustererkennung und Korrelation über mehrere unterschiedliche Ereignisstreams ausdrücken können. Event Stream Analysis unterstützt die Durchführung einer leistungsstarken Erkennung von Incidents und Erzeugung von Warnmeldungen.

  • Echtzeitanalysen (automatische Analyse von Ereignissen). Die Funktion der automatisierten Bedrohungserkennung von RSA umfasst vorkonfigurierte ESA Analytics-Module zur Erkennung von Befehls- und Datenverkehr.

  • NetWitness-Server. Das NetWitness-Server bietet Reporting, Ermittlung, Administration und andere Aspekte der Benutzeroberfläche.

  • Kapazität: NetWitness Platform verfügt über eine mit DACs (Direct-Attached Capacity) oder SANs (Storage Area Network) kompatible Architektur mit modularer Kapazität, die sich an die kurzfristigen Ermittlungsanforderungen sowie die längerfristigen Analyse- und Datenaufbewahrungsanforderungen des Unternehmens anpasst.

NetWitness Platform bietet Flexibilität für große Bereitstellungen. Sie können die Architektur mit mehreren Dutzend physischen Hosts oder einem einzigen physischen Host basierend auf den Besonderheiten der performance- und sicherheitsbezogenen Anforderungen des Kunden entwerfen. Darüber hinaus wurde das gesamte NetWitness Platform-System so optimiert, dass es in einer virtualisierten Infrastruktur ausgeführt werden kann.

Die Systemarchitektur besteht aus folgenden Hauptkomponenten: Decoder, Broker, Concentrator, Archiver, ESA und Warehouse Connector. NetWitness Platform-Komponenten können gemeinsam als ein System oder einzeln verwendet werden.

  • Für eine SIEM-Implementierung (Security, Information and Event Management) sind in der Basiskonfiguration folgende Komponenten erforderlich: Log Decoder, Concentrator, Broker, Event Stream Analysis (ESA) und der NetWitness-Server.
  • Bei einer Forensikimplementierung erfordert die Basiskonfiguration folgende Komponenten: Decoder, Concentrator, Broker, ESA, Malware Analysis und Endpoint Log Hybrid. Der Antwortserver-Dienst ist ebenfalls erforderlich und wird verwendet, um Warnmeldungen zu priorisieren.

Die Tabelle enthält eine Übersicht über jede Hauptkomponente:

                                                  
SystemkomponenteBeschreibung
Decoder/Log Decoder
  • NetWitness Platform sammelt Paket-, Protokoll- und Endpunktdaten. 
  • Paketdaten, d. h. Netzwerkpakete, werden mithilfe des Decoder über den Netzwerkanschluss oder Span-Port erfasst, der normalerweise als Ausgangspunkt in einem Unternehmensnetzwerk festgelegt wird. 
  • Ein Log Decoder kann vier verschiedene Protokolltypen erfassen: Syslog, ODBC, Windows-Ereignisverwaltung und Flatfiles.
  • Windows-Ereignisverwaltung bezieht sich auf die Windows 2008-Erfassungsmethodologie und Flatfiles können über SFTP abgerufen werden. 
  • Beide Decoder-Typen nehmen Transaktionsrohdaten auf, die erweitert, ausgebucht und im Warehouse oder anderen NetWitness Platform-Komponenten zusammengeführt werden.
  • Das Verfahren zum Aufnehmen und Analysieren von Transaktionsdaten ist ein dynamisches und offenes Framework.
Endpoint Log Hybrid
  • Erfasst und managt Endpunktdaten (Host) von Windows-, Mac- oder Linux-Hosts.
  • Zeichnet Daten über jede kritische Aktion auf, z. B. Prozesse, Dateien, Änderungen an der Registrierung, Netzwerkverbindungen und Interaktionen mit der Nutzerkonsole.
  • Sammelt Protokolle von Windows-Hosts, wenn die Sammlung konfiguriert ist.
  • Erzeugt Metadaten zur Korrelation von Endpunktdaten mit Sitzungen aus anderen Ereignisquellen, z. B. Protokollen und Netzwerk.
  • Durchführung von Live-Speicheranalysen, Analysen des Netzwerkverkehrs und der Erkennung von verdächtigem Nutzerverhalten
Concentrator
  • Bietet Index und Abfrage bei NetWitness-Sammlungen. 
  • Kann optional Daten an ESA weiterleiten.

Broker

  • Verteilt Zugriff auf die NetWitness-Sammlung auf viele Concentrator oder Archiver, sodass die gesamte NetWitness Platform Enterprise als eine einzelne Sammlung angezeigt wird.
Archiver
  • Der Archiver-Service ermöglicht die langfristige Protokollarchivierung durch Indexierung und Komprimierung von Protokolldaten und das Senden der Daten an den Archivierungsspeicher.  
  • Der Archivierungsspeicher wurde für eine langfristige Datenaufbewahrung und Compliance-Reporting optimiert.  
  • Archiver speichert Rohdatenprotokolle und Protokollmetadaten von Log Decodern für die langfristige Aufbewahrung. Zur Speicherung wird DAC (Direct-Attached Capacity) verwendet.

    Hinweis: Rohdatenpakete und Paketmetadaten werden nicht im Archiver gespeichert.

Event Stream Analysis (ESA)
  • Der ESA-Service (Event Stream Analysis) bietet Event Stream-Analysen wie Korrelation und komplexe Ereignisverarbeitung mit hohen Durchsätzen und niedriger Latenz. Er kann große Mengen unterschiedlicher Ereignisdaten aus Concentrators verarbeiten.
  • ESA verwendet eine erweiterte Ereignisverarbeitungssprache, mit der Nutzern die Filterung, Aggregation, Verknüpfung, Mustererkennung und Korrelation über mehrere verteilte Ereignisstreams ausdrücken können. 
  • ESA erleichtert die leistungsstarke Erkennung von Incidents und Erzeugung von Warnmeldungen.
  • Die Funktion der automatisierten Bedrohungserkennung von RSA umfasst vorkonfigurierte ESA Analytics-Module zur Erkennung von Befehls- und Datenverkehr.

Core- und Downstream-Komponenten

In NetWitness Platform nehmen die Core-Services Daten auf und analysieren sie, erzeugen Metadaten und führen dann die erzeugten Metadaten mit den Rohdaten zusammen. Zu den Core-Services zählen Decoder, Log Decoder, Concentrator und Broker. Downstreamsysteme verwenden Daten, die auf Core-Services zu Analysezwecken gespeichert sind. Die Vorgänge von Downstreamservices sind somit abhängig von den Core-Services. Die Downstreamsysteme sind Archiver, ESA, Malware Analysis, Ermittlung und Reporting. 

Zwar können die Core-Services auch ohne die Downstreamsysteme eine gute Analyselösung betreiben und bereitstellen, aber die Downstreamkomponenten umfassen zusätzliche Analysefunktionen. ESA bietet eine Echtzeitkorrelation über Sitzungen und Ereignisse hinweg sowie zwischen verschiedenen Typen von Ereignissen, z. B. Protokoll-, Paket- und Endpunktdaten. Ermittlung bietet Möglichkeiten zum Drill-down in Datenbeständen, zum Untersuchen von Ereignissen und Dateien und zum Rekonstruieren von Ereignissen in einer sicheren Umgebung. Der Malware Analysis-Service ermöglicht automatisierte Echtzeitprüfungen auf schädliche Aktivitäten in Netzwerksitzungen und zugehörigen Dateien.

You are here
Table of Contents > Erste Schritte mit NetWitness Platform

Attachments

    Outcomes