NW: Erste Schritte mit NetWitness Suite

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Übersicht

RSA NetWitness-Suite ist eine leistungsstarke Suite zur Erkennung von Bedrohungen, mit der Security Operation Centers (SOCs) Bedrohungen schnell ermitteln, priorisieren und selektieren kann. NetWitness Suite unterstützt Sie beim Isolieren und Beheben von bekannten Bedrohungen sowie von denen, die Ihnen bisher unbekannt waren. Es bietet umfassende Einblicke in Pakete, Protokolle und Endpunkte, die einen bisher unerreichten Einblick in Ihr Unternehmen oder Business liefern.

NetWitness Suite ist leistungsfähiger als je zuvor, aber einfacher für Tier-1-Analysten zu verwenden, da es den Prozess der Identifizierung und Priorisierung von verdächtigen Bedrohungen automatisiert.NetWitness Suite Darüber hinaus können Tier-2- und Tier-3-Analysten Bedrohungen mithilfe neuer Analysetools und der Metadaten- und Rohdaten-Ansichten früherer Versionen von NetWitness-Suite ermitteln und aufspüren.

Architektur

RSA NetWitness Suite ist ein dezentralisiertes und modulares System, das äußerst flexible Bereitstellungsarchitekturen ermöglicht, die anhand der Anforderungen des Unternehmens skaliert werden können. Mit NetWitness Suite können Administratoren drei Arten von Daten aus der Netzwerkinfrastruktur erfassen: Paketdaten, Protokolldaten und Endpunktdaten. Wenn NetWitness Endpoint 4.4, 4.4.0.0 oder höher installiert und konfiguriert ist, werden auch Endpunktereignisdaten gesammelt. Die Architektur weist folgende Hauptmerkmale auf:

  • Dezentralisierte Datensammlung. Die Decoder nimmt Paketdaten auf und der Log Decoder nimmt Protokolldaten auf. Decoder analysieren und rekonstruieren den gesamten Netzwerkdatenverkehr aus den Schichten 2 bis 7 oder Protokoll- und Ereignisdaten aus Hunderten von Geräten und Ereignisquellen, einschließlich NetWitness Endpoint-Daten (falls installiert und konfiguriert). Der Concentrator indiziert aus dem Netzwerk extrahierte Metadaten oder Protokolldaten und stellt sie für unternehmensweite Abfragen und Echtzeitanalysen zur Verfügung. Er erleichtert auch das Reporting und die Erzeugung von Warnmeldungen. Der Broker führt die von anderen Geräten und Ereignisquellen erfassten Daten zusammen. Broker führen Daten aus konfigurierten Concentrators zusammen; Concentrators führen Daten aus Decoders zusammen. Somit ist ein Broker ein Bindeglied zwischen mehreren Echtzeitdatenspeichern, die in den verschiedenen Decoder/Concentrator-Paaren in der gesamten Infrastruktur enthalten sind.

  • Warnung in Echtzeit. Der NetWitness Suite Event Stream Analysis(ESA)-Host bietet erweiterte Streamanalysen wie Korrelation und komplexe Ereignisverarbeitung mit hohen Durchsätzen und niedriger Latenz. Er kann große Mengen unterschiedlicher Ereignisdaten aus Concentrators verarbeiten. ESA verwendet eine erweiterte Ereignisverarbeitungssprache, mit der Analysten die Filterung, Zusammenführung, Verkettung, Mustererkennung und Korrelation über mehrere unterschiedliche Ereignisstreams ausdrücken können. Event Stream Analysis unterstützt die Durchführung einer leistungsstarken Erkennung von Incidents und Erzeugung von Warnmeldungen.

  • Echtzeitanalysen (automatische Analyse von Ereignissen). Die Funktion der automatisierten Bedrohungserkennung von RSA umfasst vorkonfigurierte ESA Analytics-Module zur Erkennung von Befehls- und Datenverkehr.

  • NetWitness-Server. Das NetWitness-Server bietet Reporting, Ermittlung, Administration und andere Aspekte der Benutzeroberfläche.

  • Kapazität: NetWitness Suite verfügt über eine mit DACs (Direct-Attached Capacity) oder SANs (Storage Area Network) kompatible Architektur mit modularer Kapazität, die sich an die kurzfristigen Ermittlungsanforderungen sowie die längerfristigen Analyse- und Datenaufbewahrungsanforderungen des Unternehmens anpasst.

Das NetWitness Suite bietet Flexibilität für große Bereitstellungen. Sie können die Architektur mit mehreren Dutzend physischen Hosts oder einem einzigen physischen Host basierend auf den Besonderheiten der performance- und sicherheitsbezogenen Anforderungen des Kunden entwerfen. Darüber hinaus wurde das gesamte NetWitness Suite-System so optimiert, dass es in einer virtualisierten Infrastruktur ausgeführt werden kann.

Die Systemarchitektur besteht aus folgenden Hauptkomponenten: Decoder, Broker, Concentrator, Archiver, ESA und Warehouse Connector. NetWitness Suite-Komponenten können gemeinsam als ein System oder einzeln verwendet werden.

  • Für eine SIEM-Implementierung (Security, Information and Event Management) sind in der Basiskonfiguration folgende Komponenten erforderlich: Log Decoder, Concentrator, Broker, Event Stream Analysis (ESA) und der NetWitness-Server.
  • Bei einer Forensikimplementierung erfordert die Basiskonfiguration folgende Komponenten: Decoder, Concentrator, Broker, ESA, Malware Analysis und Endpoint Hybrid oder Endpoint Log Hybrid. Der Service „Response Server“ (Antwortserver) ist ebenfalls erforderlich und wird verwendet, um Warnmeldungen zu priorisieren.

Die Tabelle enthält eine Übersicht über jede Hauptkomponente:

                                                  
SystemkomponenteBeschreibung
Decoder/Log Decoder
  • NetWitness Suite sammelt Paket-, Protokoll- und Endpunktdaten. 
  • Paketdaten, d. h. Netzwerkpakete, werden mithilfe des Decoder über den Netzwerkanschluss oder Span-Port erfasst, der normalerweise als Ausgangspunkt in einem Unternehmensnetzwerk festgelegt wird. 
  • Ein Log Decoder kann vier verschiedene Protokolltypen erfassen: Syslog, ODBC, Windows-Ereignisverwaltung und Flatfiles.
  • Windows-Ereignisverwaltung bezieht sich auf die Windows 2008-Erfassungsmethodologie und Flatfiles können über SFTP abgerufen werden. 
  • Beide Decoder-Typen nehmen Transaktionsrohdaten auf, die erweitert, ausgebucht und im Warehouse oder anderen NetWitness Suite-Komponenten zusammengeführt werden.
  • Das Verfahren zum Aufnehmen und Analysieren von Transaktionsdaten ist ein dynamisches und offenes Framework.
Endpoint Hybrid oder Endpoint Log Hybrid
  • Sammelt und verwaltet Endpunktdaten von Hosts.

  • Erzeugt Metadaten für Untersuchungen, Analysen, Warnmeldungen und Berichte.
  • Erfasst Protokolle von Windows-Hosts sowie von allen weiteren Ereignisquellen, die für die Protokollerfassung in der NetWitness Suite unterstützt werden.
Concentrator
  • Bietet Index und Abfrage bei NetWitness-Sammlungen. 
  • Kann optional Daten an ESA weiterleiten.

Broker

  • Verteilt Zugriff auf die NetWitness-Sammlung auf viele Concentrator oder Archiver, sodass die gesamte NetWitness Suite Enterprise als eine einzelne Sammlung angezeigt wird.
Archiver
  • Der Archiver-Service ermöglicht die langfristige Protokollarchivierung durch Indexierung und Komprimierung von Protokolldaten und das Senden der Daten an den Archivierungsspeicher.  
  • Der Archivierungsspeicher wurde für eine langfristige Datenaufbewahrung und Compliance-Reporting optimiert.  
  • Archiver speichert Rohdatenprotokolle und Protokollmetadaten von Log Decoders für die langfristige Aufbewahrung. Zur Speicherung wird DAC (Direct-Attached Capacity) verwendet.

    Hinweis: Rohdatenpakete und Paketmetadaten werden nicht im Archiver gespeichert.

Event Stream Analysis (ESA)
  • Der ESA-Service (Event Stream Analysis) bietet Event Stream-Analysen wie Korrelation und komplexe Ereignisverarbeitung mit hohen Durchsätzen und niedriger Latenz. Er kann große Mengen unterschiedlicher Ereignisdaten aus Concentrators verarbeiten.
  • ESA verwendet eine erweiterte Ereignisverarbeitungssprache, mit der Benutzern die Filterung, Aggregation, Verknüpfung, Mustererkennung und Korrelation über mehrere verteilte Ereignisstreams ausdrücken können. 
  • ESA erleichtert die leistungsstarke Erkennung von Incidents und Erzeugung von Warnmeldungen.
  • Die Funktion der automatisierten Bedrohungserkennung von RSA umfasst vorkonfigurierte ESA Analytics-Module zur Erkennung von Befehls- und Datenverkehr.

Core- und Downstream-Komponenten

In NetWitness Suite nehmen die Core-Services Daten auf und analysieren sie, erzeugen Metadaten und führen dann die erzeugten Metadaten mit den Rohdaten zusammen. Zu den Core-Services zählen Decoder, Log Decoder, Concentrator und Broker. Downstreamsysteme verwenden Daten, die auf Core-Services zu Analysezwecken gespeichert sind. Die Vorgänge von Downstreamservices sind somit abhängig von den Core-Services. Die Downstreamsysteme sind Archiver, ESA, Malware Analysis, Ermittlung und Reporting. 

Zwar können die Core-Services auch ohne die Downstreamsysteme eine gute Analyselösung betreiben und bereitstellen, aber die Downstreamkomponenten umfassen zusätzliche Analysefunktionen. ESA bietet eine Echtzeitkorrelation über Sitzungen und Ereignisse hinweg sowie zwischen verschiedenen Typen von Ereignissen, z. B. Protokoll-, Paket- und Endpunktdaten. Ermittlung bietet Möglichkeiten zum Drill-down in Datenbeständen, zum Untersuchen von Ereignissen und Dateien und zum Rekonstruieren von Ereignissen in einer sicheren Umgebung. Der Malware Analysis-Service ermöglicht automatisierte Echtzeitprüfungen auf schädliche Aktivitäten in Netzwerksitzungen und zugehörigen Dateien.

You are here
Table of Contents > Erste Schritte mit NetWitness Suite

Attachments

    Outcomes