CBA:Cloud Gateway分析ストリーム マッピング

Document created by RSA Information Design and Development on Oct 12, 2018
Version 1Show Document
  • View in full screen mode
 

[Cloud Gateway分析ストリーム マッピング]パネル([管理]>[システム]>[Cloud Gateway])で、RSA NetWitness Suite CBA(Cloud Behavioral Analytics)が高度な脅威を自動検出するために使用するリソースを定義します。

RSA Cloud Gatewayは、1つ以上のConcentratorからCBA(Cloud Behavioral Analytics)に分析ストリームを自動アップロードするよう構成します。分析ストリームは、分析処理に使用される、選択されたトラフィック アクティビティのパイプラインです。たとえば、分析ストリームにはHTTP、FTP、SMB、DNSトラフィックを含めることができます。ConcentratorソースとCloud Gatewayサービスの間に分析ストリーム マッピングを作成し、導入することにより、データ ストリームが自動的にクラウドに転送され、分析処理が行われます。

ワークフロー

このワークフローは、Cloud Gateway分析ストリーム マッピングを作成し有効化して高度な脅威の自動検出を開始するプロセスを示します。

Cloud Gateway Analytics Stream Mappings workflow

Cloud Gateway分析ストリーム マッピングを作成する前に、マッピングで使用するNetWitness Suiteホストとサービスがネットワークに接続されており、利用可能であることを確認します。すべてのサービスが、一貫性のあるタイム ソースと同期する必要があります。Concentratorが必要なデータを収集していることを確認します。Cloud Behavioral Analyticsを有効にするには、Cloud Gatewayサービスをプロビジョニングする必要があります。

マッピングを作成するときには、HTTPなど、マッピングする分析ストリームを選択します。次に、その分析ストリームに使用するConcentratorなどのデータ ソースと、データを処理するCloud Gatewayサービスを選択します。データの集計を開始する準備ができたら、マッピングを導入します。(将来)アナリストは、分析ストリームで検出された脅威をNetWitness Suite UI(ユーザ インタフェース)で参照できるようになります。

実行したいことは何ですか?

                                           
ロール 実行したいこと手順
管理者

NetWitness Suiteホストとサービスがオンラインで利用可能であることを確認

[管理]>[ホスト]および[管理]>[サービス]
ホストおよびサービス スタート ガイド」を参照

管理者

Concentratorが必要なデータを収集していることを確認

BrokerおよびConcentrator構成ガイド」を参照

管理者

Cloud Gatewayをプロビジョニングする

Cloud Gatewayのプロビジョニング

管理者Cloud Gateway分析ストリーム マッピングの作成*

Cloud Gateway分析ストリームのマッピング

管理者Cloud Gateway分析ストリーム マッピングの導入*

Cloud Gateway分析ストリームのマッピング

管理者、
アナリスト
検出された脅威を表示する

NetWitness Respondユーザ ガイド」と「NetWitness Investigateユーザ ガイド」を参照

*これらのタスクは[Cloud Gateway分析ストリーム]パネルで完了できます。

関連トピック

簡単な説明

次に、Cloud Gateway分析ストリーム マッピングの例を説明します。構成では、分析ストリームのデータ ソースを定義し、それらのデータ ソースのイベントを処理するCloud Gatewayサービスを定義します。

Cloud Gateway Analytics Stream Mappings diagram

                                 
1[Cloud Gateway分析ストリーム マッピング]パネルを表示します。
2マッピングのステータスを表示します。
3マッピングされている分析ストリームの名前。
4マッピングに割り当てられている、Concentratorなどのデータ ソース。
5マッピングのデータを処理するCloud Gatewayサービス。
6マッピングのデータ ソースの遅延時間の構成(分単位)。
7分析ストリームの設定の変更、マッピングの導入、マッピングの導入解除などのアクションを実行。

ツールバー

次の表は、ツールバーのアクションについて説明しています。

                       

アイコン /

ボタン

説明

Add.png

[マッピングの作成]ダイアログを開き、マッピングを作成することができます。分析ストリームごとに別のマッピングを作成します。
マッピングを作成し、確認した後、導入します。

Delete icon

マッピングを削除します。

  • [導入解除]ステータスのマッピングはいつでも削除できます。「導入解除」ステータスのマッピングは導入も実行もされていないため、データの集計に影響しません。

  • 導入済みのマッピングを削除すると、サーバ上の構成がクリアされ、そのマッピングの導入が取り消され、分析ストリームのデータ ソースからのデータ取得が停止されます。削除する前に「導入済み」ステータスのマッピングを導入解除する必要があります。

今すぐ導入マッピングを作成した後、分析ストリームのデータの集計を開始するためにマッピングを導入する必要があります。「導入解除」ステータスのマッピングを1つまたは複数選択し、導入できます。

注:Concentratorの追加や削除、サービスの変更など、導入済みのマッピングに変更を加える場合は、既存のマッピングを導入解除して削除し、新しく分析ストリーム マッピングを作成して導入する必要があります。

Cloud Gateway分析ストリーム マッピング

次の表では、Cloud Gateway分析ストリーム マッピングのリストについて説明します。

                                       

アイコン /

フィールド

説明

Select icon個別のマッピングを選択するには、マッピングの横にあるチェック ボックスをオンにします。
ステータス

マッピングのステータスを表示します。2つのステータスがあります。

導入解除:導入解除されたマッピングは、分析ストリームをソースとCloud Gatewayサービスにマッピングしています。マッピングを導入するまでは分析ストリームのデータ集計は開始されません。

導入済み:導入済みのマッピングは導入され、実行中です。導入済みのマッピングでは、選択されたCloud Gatewayサービスが、クエリ ベースの集計を実行し、選択された分析ストリームに該当するトラフィックをフィルタリングして、Concentratorから収集します。

分析ストリーム選択された分析ストリームを示します。分析ストリームは、分析処理に使用される、選択されたトラフィック アクティビティのパイプラインです。たとえば、分析ストリームにはHTTP、FTP、SMB、DNSトラフィックを含めることができます。ConcentratorソースとCloud Gatewayサービスの間に分析ストリーム マッピングを作成し、導入することにより、データ ストリームが自動的にクラウドに転送され、分析処理が行われます。
ソース ソースとは、データ ソース(Concentratorなど)のことで、ここからCloud Gatewayが指定された分析ストリームのデータを集計します。
サービス 指定された分析ストリームのデータを処理するCloud Gatewayサービスを指します。選択されたサービスは、一貫性のあるタイム ソースと同期する必要があります。
遅延時間(分)

アクティビティ集中時にデータ ソースが処理中のイベントを失わないようにするため、固定の遅延時間を分単位で指定します。たとえば、Concentratorのパフォーマンスは、データ受信量、同時実行中のクエリ数、インデックス作成などの要因によって異なります。これらの要因により、Concentratorはイベントをリアルタイムで集計できないことがあり、これが遅延につながります。

遅延時間パラメータを設定することにより、Concentratorが全データの集計を完了する可能性が高くなります。

データの集計は、現在の(システム)時刻 - 遅延時間のデータから開始します。遅延時間の設定は、Concentratorによるデータの集計が遅い場合に役に立ちます。遅延時間により、CBA(Cloud Behavioral Analytics)が、遅延時間の期間は、Concentratorに到着するデータを処理しないことが保証されるため、発生したすべてのイベントが確実にCBAで処理されるよう適切な遅延時間を指定します。

たとえば、遅延時間が30分、現在時刻が午後2時00分の場合、Concentratorは午後1時30分のレコードから取得します。時間が進んでも、遅延時間の幅(この例では30分)は常に同じです。現在の時間が午後2時01分に進むと、Concentratorは1分進んだ午後1時31分のデータを取得します。以降も同様です。

重要:遅延時間は、現在時刻と分析ストリームがデータを取得する時刻のバッファを定義します。

注意:RSAでは、集計中のイベントが欠落しないように、管理者が個々のConcentratorのパフォーマンスに応じて動的に遅延時間パラメータを調整することを推奨します。

Actions icon

選択した分析ストリーム マッピングに対して実行するアクションを選択できます。

  • ストリームの編集:選択したマッピングの遅延時間を設定できます。

  • 導入:選択したマッピングを導入します。指定したCloud Gatewayサービスが、分析ストリームのデータ ソースからのデータ取得を開始します。

  • 導入解除:選択したマッピングの導入を解除します。指定したCloud Gatewayサービスが、分析ストリームのデータ ソースからのデータ取得を停止します。

注意:ステータスが[導入済み]のマッピングを導入解除すると、分析ストリームのデータ集計に影響します。

 

You are here
Table of Contents > Cloud Gateway参照 > Cloud Gateway分析ストリーム マッピング

Attachments

    Outcomes