Host GS: Die Grundlagen

Document created by RSA Information Design and Development on May 14, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

Dieser Leitfaden bietet Administratoren Informationen zu den Standardverfahren für das Hinzufügen und Konfigurieren von Hosts und Services in NetWitness Suite. Nach der Einführung in den grundlegenden Zweck von Hosts und Services und ihre Funktionsweise im NetWitness Suite-Netzwerk werden in diesem Leitfaden die folgenden Themen behandelt:

  • Die Schritte, die Sie zum Konfigurieren von Hosts und Services in Ihrem Netzwerk durchführen müssen
  • Zusätzliche Verfahren, die Sie basierend auf den langfristigen und täglichen betrieblichen Anforderungen Ihres Unternehmens abschließen
  • Referenzthemen, in denen die Benutzeroberfläche beschrieben wird

Was ist ein Host?

Ein Host ist der Computer, auf dem ein Service ausgeführt wird. Ein Host kann ein physischer Rechner oder eine virtuelle Maschine sein. Im ausführlichen Diagramm zur RSA NetWitness Suite-Hostbereitstellung im RSA NetWitness Suite-Bereitstellungshandbuch finden Sie eine Abbildung der Vorgehensweise bei der Bereitstellung von Hosts.Navigieren Sie zu Masterinhaltsverzeichnis für RSA NetWitness Logs & Packets 11.x, um alle Dokumente zu NetWitness Suite 11.x zu suchen.

Was ist ein Hosttyp?

Ein Hosttyp weist einem Host einen oder mehrere Services zu, wenn Sie einen Host über die Ansicht „Hosts“ installieren. Wählen Sie im Dialogfeld Services installieren einen Hosttyp aus. Das Dialogfeld wird angezeigt, wenn Sie in der Ansicht „Hosts“ einen Host auswählen und auf (Installationssymbol) klicken. In der folgenden Tabelle werden jeder Hosttyp und der Service oder die Services aufgeführt, den bzw. die dieser installiert. Im ausführlichen Diagramm zur RSA NetWitness Suite-Hostbereitstellung im RSA NetWitness Suite-Bereitstellungshandbuch finden Sie eine Abbildung der Vorgehensweise bei der Bereitstellung von Hosts. Navigieren Sie zu Masterinhaltsverzeichnis für RSA NetWitness Logs & Packets 11.x, um alle Dokumente zu NetWitness Suite 11.x zu suchen.

                                                                       
HosttypInstallierte Services

Archiver

Workbench und Archiver

Broker

Broker

Cloud Gateway

Cloud Gateway

ConcentratorConcentrator

Endpoint Hybrid

Log Decoder, Endpoint und Concentrator

Endpoint Log Hybrid

Log Collector, Log Decoder, Endpoint und Concentrator

ESA PrimaryContext Hub, Entity Behavior Analysis und Event Stream Analysis

ESA Secondary

Entity Behavior Analysis und Event Stream Analysis

Log Collector

Log Collector

Log Decoder

Log Collector und Log Decoder

Log Hybrid

Log Collector, Log Decoder und Concentrator

Malware AnalysisMalware Analysis und Broker
Packet DecoderDecoder
Packet HybridConcentrator und Decoder

Warehouse Connector

Warehouse Connector

Was ist ein Service?

Ein Service führt eine eindeutige Funktion aus, wie das Sammeln von Protokollen oder Archivieren von Daten. Jeder Service wird auf einem dedizierten Port ausgeführt und ist als Plug-in modelliert, das je nach Funktion des Hosts aktiviert oder deaktiviert wird.

Sie müssen die folgenden Core-Services zuerst konfigurieren: 

  • Decoder
  • Concentrator
  • Broker
  • Log Decoder

Alle Services sind nachfolgend aufgeführt. Für jeden Service außer den Log Collector sind eigene Leitfäden verfügbar bzw. in den Leitfäden zur Host- und Servicekonfiguration enthalten. Für den Log Collector ist ein eigener Satz von Konfigurationsleitfäden vorhanden, um die Konfiguration für alle unterstützten Ereignissammlungsprotokolle zu abzudecken. Informationen zum Log Collector finden Sie unterLeitfäden zur Protokollsammlung.

  • Archiver
  • Broker
  • Cloud Gateway
  • Concentrator
  • Context Hub
  • Decoder (Pakete)
  • Endpoint
  • Entity Behavior Analysis
  • Event Stream Analysis
  • Investigate
  • Log Collector
  • Log Decoder
  • Malware Analysis
  • Reporting Engine
  • Reagieren
  • Warehouse Connector
  • Workbench

Sie müssen Hosts und Services für die Kommunikation mit dem Netzwerk und miteinander konfigurieren,damit sie ihre Funktionen wie das Speichern oder Erfassen von Daten durchführen können. 

Einrichten eines Hosts

Verwenden Sie die Ansicht „Host“, um NetWitness Suite einen Host hinzuzufügen.  Ausführliche Informationen finden Sie unter Schritt 1. Hinzufügen eines Hosts.

Verwalten von Hosts

Verwenden Sie die Hauptansicht „Host“, um Ihrer Bereitstellung Hosts hinzuzufügen, diese zu bearbeiten und zu löschen sowie andere Wartungsaufgaben durchzuführen. Aufgaben im Zusammenhang mit einem Host und dessen Kommunikation mit dem Netzwerk können Sie über das Dialogfeld „Aufgabenliste“ durchführen. Ausführliche Anweisungen finden Sie im Abschnitt zu Verfahren bei Hosts und Services.

Nach der ersten Implementierung von NetWitness Suite ist die Hauptaufgabe, die Sie über die Ansicht „Host“ durchführen, das Aktualisieren Ihrer NetWitness Suite-Bereitstellung auf eine neue Version.

Benennungskonvention beim Aktualisieren der Version

Die Ansicht „Hosts“ dient dazu, Versionsaktualisierungen aus Ihrem lokalen Update-Repository zu installieren. Weitere Informationen zum lokalen Update-Repository finden Sie im Thema Managen von NetWitness Suite-Aktualisierungen unter Systemwartung. Sie müssen die Benennungskonvention für das Aktualisieren der Version verstehen, um zu entscheiden, welche Version Sie für den Host anwenden möchten. Die Benennungskonvention ist Hauptversion.Nebenversion.Service Pack.Patch. Wenn Sie beispielsweise 11.6.1.2 auswählen, installieren Sie die folgende Version auf dem Host.

  • 11 = Hauptversion
  •   6 = Nebenversion
  •   1 = Service Pack
  •   2 = Patch

NetWitness Suite unterstützt mehrere Versionen in Ihrer Bereitstellung. Der NetWitness-Server (NW-Serverhost) wird zuerst aktualisiert und alle anderen Hosts müssen dieselbe oder eine frühere Version als der NW-Server-Host aufweisen.

Hinweis: Der NW-Server-Host muss zuerst aktualisiert werden und alle anderen Hosts müssen dieselbe Version wie oder eine frühere Version als der NW-Server-Host aufweisen.

Im folgenden Beispiel ist eine Bereitstellung mit mehreren Versionen dargestellt.

  • Aktuell verfügbare Versionsaktualisierungen in Ihrem lokalen Update-Repository sind 11.0.2.0 und 11.0.1.0 für die Broker-, LC/LD- und Log Decoder-Hosts.
  • Der NW-Server-Host und alle anderen Hosts werden derzeit auf 11.0.2.0 aktualisiert.

Das bedeutet, dass Sie die Möglichkeit haben, die Log Decoder-, Broker- und LC/LD-Hosts auf 11.0.2.0 oder 11.0.2.0 zu aktualisieren.

Verwalten von Services

Verwenden Sie die Ansicht „Services“, um Ihrer Bereitstellung Services hinzuzufügen, diese zu bearbeiten und zu löschen sowie andere Wartungsaufgaben durchzuführen. Ausführliche Anweisungen finden Sie im Abschnitt zu Verfahren bei Hosts und Services.

Mit dem NetWitness-Server implementierte Services

Die Services in der folgenden Tabelle werden implementiert, wenn die Bereitstellung von NW-Server Folgendes unterstützt:

  • Die Erweiterung von physischen und virtuellen Bereitstellungsplattformen und Verbesserungen an der Host- und Servicewartung
  • Verbesserungen an der Funktion zum Untersuchen und Reagieren

Achtung: Sie müssen diese Services nicht konfigurieren, um NetWitness Suite bereitzustellen. RSA empfiehlt, den Betriebsstatus dieser Services mithilfe der Funktion „Integrität und Zustand“ zu überwachen. Versuchen Sie nicht, die Parameter in der Ansicht „Durchsuchen“ zu ändern, ohne Kontakt zum Kundensupport aufzunehmen (https://community.rsa.com/docs/DOC-1294).

                                       
ServiceZweck
Administrator

Der Administration Server (Adminserver) ist der Back-end-Service für administrative Aufgaben auf der Benutzeroberfläche (UI) von NetWitness Suite. Er abstrahiert die Authentifizierung, das Management von globalen Einstellungen und die Autorisierungsunterstützung für die Benutzeroberfläche. Der Adminserver benötigt den Konfigurationsserver und den Sicherheitsserver, um online sein und seine Aufgaben ausführen zu können.

Konfig

Der Configuration Server (Konfigurationsserver) speichert und verwaltet Konfigurationssätze. Ein Konfigurationssatz ist eine Gruppe beliebiger logischer Konfigurationen, die unabhängig verwaltet wird. Der Konfigurationsserver ermöglicht die gemeinsame Nutzung von Eigenschaften durch Services, bietet Möglichkeiten zur Sicherung und Wiederherstellung von Konfigurationen und erfasst Änderungen an den Eigenschaften.

Integration

Der Integrationsserver verwaltet Interaktionen mit externen Systemen. Der Service verarbeitet die folgenden aus- oder eingehenden Kanäle.

  • REST-API-Gateway: Gateway für externe Rest-Clients, das Aufrufe der NetWitness-API (Application Programming Interface) zuweist
  • Notifications Dispatcher: zentraler Dispatcher für alle ausgehenden Benachrichtigungen aus der NetWitness-Bereitstellung.
InvestigateDer Investigate-Server befindet sich auf dem NW-Serverhost, zusammen mit dem Admin-Server, Config-Server, Integrationsserver, Orchestrierungsserver, Respond-Server und Sicherheitsserver. Der Investigate-Server befindet sich auf dem NW-Serverhost, zusammen mit dem Admin-Server, Konfigurationsserver, Integrationsserver, Orchestrierungsserver, Respond-Server und Sicherheitsserver. Weitere Informationen finden Sie im RSA NetWitness Suite Ermittlung und Malware Analysis – Benutzerhandbuch. Navigieren Sie zu Masterinhaltsverzeichnis für RSA NetWitness Logs & Packets 11.x, um alle Dokumente zu NetWitness Suite 11.x zu suchen.
Orchestrierung Der Investigate-Server ist ein interner Systemmanagementservice, der auf dem NW-Server ausgeführt wird und alle Services in Ihrer NetWitness Suite-Bereitstellung bereitstellt, installiert und konfiguriert.

Respond

Der Respond-Server befindet sich auf dem NW-Serverhost, zusammen mit dem Adminserver, Konfigurationsserver, Untersuchungsserver, Orchestrierungsserver und Sicherheitsserver. Weitere Informationen finden Sie im Konfigurationsleitfaden für RSA NetWitness Suite Respond. Navigieren Sie zu Masterinhaltsverzeichnis für RSA NetWitness Logs & Packets 11.x, um alle Dokumente zu NetWitness Suite 11.x zu suchen.

Sicherheit

Der NetWitness Suite Security Server (Sicherheitsserver) verwaltet die Sicherheitsinfrastruktur einer NetWitness Suite-Bereitstellung. Er ist für die folgenden sicherheitsbezogenen Bereiche verantwortlich.

  • Benutzer- und Authentifizierungskonten
  • Rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC)
  • Bereitstellung der PKI (Public Key Infrastructure)

Eine NetWitness Suite-Bereitstellung weist Benutzer mit Authentifizierungskonten auf. Unabhängig davon, wie die Identität des Analysten (z. B. Active Directory) überprüft wird, muss NetWitness Suite den Benutzerstatus speichern, was nicht bei allen Authentifizierungsanbietern möglich ist (z. B. Zeitpunkt der letzten Anmeldung, fehlgeschlagene Anmeldeversuche und Rollen). Es wird zwischen dem Konzept eines Benutzers und der ihm zugewiesenen Identität unterschieden. Der Sicherheitsserver verwaltet diese als separate Benutzer- und Kontoentitäten. Der Server unterstützt zusätzlich zu den standardmäßig verfügbaren lokalen NetWitness-Konten, die in allen NetWitness-Bereistellungen verfügbar sind, auch externe Authentifizierungsanbieter.

Der Sicherheitsserver implementiert durch die Verwaltung von Rollen- und Berechtigungsentitäten außerdem RBAC. Berechtigungen können Rollen und Rollen wiederum Benutzern zugewiesen werden. Zusammen ermöglichen sie eine flexible Autorisierungs-Policy für die Bereitstellung. Der Server unterstützt zudem die Generierung von kryptografisch sicheren Token, die die entsprechende Autorisierung für einen Benutzer codieren. Diese Token bilden die Grundlage für eine bereitstellungsweite Autorisierung.

Ausführen im gemischten Modus

Der gemischte Modus ist aktiv, wenn einige Services auf eine neue Version aktualisiert werden und andere in älteren Versionen beibehalten werden. Dieser Zustand tritt ein, wenn Sie die Hosts in Ihrer Bereitstellung phasenweise auf eine neue Version aktualisieren oder die Aktualisierung gestaffelt vornehmen.

Funktionslücken bei einer gestaffelten Aktualisierung

Wenn Sie die Aktualisierung gestaffelt vornehmen, kann Folgendes auftreten:

  • Möglicherweise sind nicht alle Funktionen einsatzfähig, bis Sie die gesamte Bereitstellung aktualisiert haben.
  • Ihnen stehen keine administrativen Funktionen in Services zur Verfügung, bis alle Hosts in Ihrer Bereitstellung aktualisiert sind.
  • Die Datenerfassung ist möglicherweise eine Zeit lang nicht verfügbar.

Beispiele für gestaffelte Aktualisierungen

In den folgenden Beispielen nehmen wir an, dass alle Hosts die Version 11.1.0.x haben und Sie die Hostaktualisierungen auf Version 11.1.1.0 gestaffelt vornehmen möchten.

Beispiel 1. Mehrere Decoder und Concentrator, Alternative 1

In diesem Beispiel umfasst die Bereitstellung 11.1.0.x Folgendes: 1 NW-Serverhost, 2 Decoder-Hosts, 2 Concentrator-Hosts, 1 Archiver-Host, 1 Broker-Host, 1 Event Stream Analysis-Host und 1 Malware Analysis-Host.

Sie müssen zunächst Phase 1 abschließen und die Hosts in der für Phase 1 angegebenen Reihenfolge aktualisieren.

RSA empfiehlt, die Hosts in Phase 2 in der für Phase 1 angegebenen Reihenfolge zu aktualisieren.

Phase 1: Sitzung 1

  1. Aktualisieren des Security Analytics-Serverhosts.
  2. Aktualisieren Sie den Event Stream Analysis-Host.
  3. Aktualisieren Sie den Malware Analysis-Host.
  4. Broker- oder Concentrator-Host

Phase 2: Sitzung 2

  1. Aktualisieren Sie die 2 Decoder-Hosts.
  2. Aktualisieren Sie die 2 Concentrator-Hosts und den Archiver-Host.

Phase 2: Sitzung 3

  1. Aktualisieren aller anderen Hosts

Beispiel 2. Mehrere Decoder und Concentrator, Alternative 2

In diesem Beispiel umfasst die Bereitstellung 11.1.0.x Folgendes: 1 NW-Serverhost, 2 Decoder-Hosts, 2 Concentrator-Hosts, 1 Broker-Host, 1 Event Stream Analysis-Host und 1 Malware Analysis-Host. RSA empfiehlt, die Hosts in Phase 2 in der folgenden Reihenfolge zu aktualisieren. Beachten Sie, dass Sie zuerst Phase 1 abschließen und die Hosts in der aufgeführten Reihenfolge aktualisieren müssen.

Phase 1: Sitzung 1

  1. Aktualisieren des Security Analytics-Serverhosts.
  2. Aktualisieren Sie den Event Stream Analysis-Host.
  3. Aktualisieren Sie den Malware Analysis-Host.
  4. Aktualisieren Sie den Broker-Host.

Phase 2: Sitzung 2

  1. Aktualisieren Sie 1 Decoder- und 1 Concentrator-Host.
    Zeit verstreicht, während NetWitness Suite einen großen Teil der Daten verarbeitet.

Phase 2: Sitzung 3

  1. Aktualisieren Sie 1 Decoder-Host, 1 Concentrator-Host und den Broker-Host.
  2. Log Decoder
    Aktualisieren Sie alle Log Decoder-Hosts, bevor Sie Virtual Log Collectors aktualisieren.

  3. Aktualisieren aller anderen Hosts

Beispiel 3. Mehrere Bereiche

In diesem Beispiel umfasst die Bereitstellung 11.1.0.x Folgendes: 1 NW-Serverhost, 1 Event Stream Analysis-Host, 1 Malware Analysis-Host, 4 Decoder-Hosts, 4 Concentrator-Hosts, 2 Broker-Hosts (2 Standorte mit jeweils 2 Decodern, 2 Concentrators und 1 Broker).

Phase 1: Standort 1 aktualisieren

  1. Aktualisieren Sie den NW-Serverhost.
  2. Aktualisieren Sie den Event Stream Analysis-Host.
  3. Aktualisieren Sie den Malware Analysis-Host.
  4. Aktualisieren Sie 1 Broker-Host, 2 Decoder-Hosts und 2 Concentrator-Hosts.
  5. Aktualisieren aller anderen Hosts

Phase 2: Standort 2 aktualisieren

  1. Aktualisieren Sie die Broker-Hosts.
  2. Aktualisieren Sie die 2 Decoder-Hosts.
  3. Aktualisieren Sie 2 Concentrator-Hosts.
  4. Aktualisieren aller anderen Hosts

 

You are here
Table of Contents > Host und Services – Grundlagen

Attachments

    Outcomes