CBA:Cloud Gateway分析ストリームのマッピング

Document created by RSA Information Design and Development on Oct 12, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 2Show Document
  • View in full screen mode
 

RSA Cloud Gatewayでは、1つ以上のConcentratorからCBA(Cloud Behavioral Analytics)に分析ストリームを自動アップロードするよう構成します。分析ストリームは、分析処理に使用される、選択されたトラフィック アクティビティのパイプラインです。たとえば、分析ストリームにはHTTP、FTP、SMB、DNSトラフィックを含めることができます。ConcentratorソースとCloud Gatewayサービスの間に分析ストリーム マッピングを作成し、導入することにより、データ ストリームが自動的にクラウドに転送され、分析処理が行われます。

マッピングを導入すると、選択されたCloud Gatewayサービスが、クエリ ベースの集計を実行し、選択された分析ストリームに該当するトラフィックをフィルタリングして、Concentratorから収集します。クエリ ベースの集計とは、選択した分析ストリームのデータのみを転送するよう事前定義されたクエリを意味します。ConcentratorからCloud Behavioral Analyticsには、分析ストリームで必要とされるデータだけが転送されます。

考慮事項

分析ストリーム マッピングの作成および導入時には、次の点を特に考慮してください。

  1. 導入された各分析ストリームは、ネットワークのインターネット出力ポイントに追加の負荷をかけることになります。
  2. 追加するすべての分析ストリームがConcentratorに影響します。

  3. 分析ストリームは、必要なタイプの情報をアクティブに収集するConcentratorにマッピングしてください。たとえばHTTP分析ストリームは、HTTPアクティビティを収集するConcentratorでのみアクティブにする必要があります。

分析ストリームの導入例: 2つのゲートウェイ

複数のConcentratorを導入している場合は、1つの分析ストリームを1つのCloud Gatewayサービスにマッピングし、複数のデータソースからのデータを同時に分析するよう構成できます。

たとえば、Concentratorが3つ、Cloud Gatewayサービスが2つある場合に、次のマッピングを作成して導入することができます。

  • 分析ストリーム1を、Concentrator 1とConcentrator 2、そしてCloud Gateway Server 1にマッピングします。Cloud Gateway Server 1は、分析ストリーム1のフィルタリングされたトラフィックを、Concentrator 1およびConcentrator 2からクラウドのCBAに送信します。
  • 分析ストリーム2のトラフィックを、Concentrator 2とConcentrator 3、そしてCloud Gateway Server 2にマッピングします。Cloud Gateway Server 2は、分析ストリーム2のフィルタリングされたトラフィックをConcentrator 2およびConcentrator 3からクラウドのCBAに送信します。

この例では、分析ストリーム1は、特定のタイプの分析ストリーム(例えば、HTTP)を表し、分析ストリーム2は別のタイプの分析ストリーム(例えば、FTP)を表します。Concentrator 1はHTTPアクティビティを収集し、Concentrator 2はHTTPおよびFTPアクティビティを収集し、Concentrator 3はFTPアクティビティを収集します。

Module Deployment Example - 2 Gateways

この例では、両方のサービスが同じConcentratorからのデータを処理します。Cloud Gateway Server 1と2の両方がConcentrator 2からのデータを処理しています。Cloud Gateway Server 1は分析ストリーム1のHTTPトラフィックのデータをクエリし、Cloud Gateway Server 2はそれとは異なる分析ストリーム2のFTPトラフィックのデータをクエリします。

分析ストリームの導入例:1つのゲートウェイ

複数の分析ストリームをそれぞれ異なる複数のCloud Gatewayサービスで処理するよう分析ストリーム マッピングを作成できますが、複数の分析ストリームを1つのCloud Gatewayサービスにマッピングすることもできます。

たとえば、Concentratorが3つ、Cloud Gatewayサービスが1つの場合に、次のマッピングを作成して導入することができます。

  • 分析ストリーム1を、Concentrator 1とConcentrator 2、そしてCloud Gateway Server 1にマッピングします。Cloud Gateway Server 1は、分析ストリーム1のフィルタリングされたトラフィックをConcentrator 1およびConcentrator 2からクラウドのCBAに送信します。
  • 分析ストリーム2を、Concentrator 2とConcentrator 3、そしてCloud Gateway Server 1にマッピングします。Cloud Gateway Server 1は、分析ストリーム2のフィルタリングされたトラフィックをConcentrator 2およびConcentrator 3からクラウドのCBAに送信します。

この例では、分析ストリーム1は、特定のタイプの分析ストリーム(例えば、HTTP)を表し、分析ストリーム2は別のタイプの分析ストリーム(例えば、FTP)を表します。Concentrator 1はHTTPアクティビティを収集し、Concentrator 2はHTTPおよびFTPアクティビティを収集し、Concentrator 3はFTPアクティビティを収集します。

Module Deployment Example - One Gateway

この例では、複数の分析ストリームのデータを1つのサービスで処理する方法を示しています。Cloud Gateway Server 1がConcentrator 1とConcentrator 2からの分析ストリーム1のデータを処理します。Concentrator 2とConcentrator 3からの分析ストリーム2のデータも処理します。Cloud Gateway Server 1は分析ストリーム1のHTTPトラフィックのデータをクエリし、それとは異なる分析ストリーム2のFTPトラフィックのデータをクエリし、分析処理のためにそれらのデータをクラウドのCBAに送信します。

注意:すべてのNetWitness Suiteホストのサービスが、一貫性のあるタイム ソースと同期している必要があります。

前提条件

  • すべてのNetWitness Suiteホストのサービスが、一貫性のあるタイム ソースと同期している必要があります。
  • Concentratorホストとサービスが、NetWitness Suiteユーザ インタフェースで検出され、使用可能である必要があります。
  • Cloud Gateway Serverサービスがプロビジョニングされている必要があります。「Cloud Gatewayのプロビジョニング」を参照してください。

Cloud Gateway分析ストリーム マッピングの作成

ソースとサービスを分析ストリームにマッピングする方法を、次の手順で説明します。マッピングを作成し、確認した後、導入すると、データの集計が開始します。

  1. [管理]>[システム]に移動して、オプション パネルで[Cloud Gateway]を選択します。
    [Cloud Gateway分析ストリーム マッピング]パネルが表示されます。
    Cloud Gateway Analytic Stream Mappings panel
  2. をクリックして分析ストリーム マッピングを作成します。分析ストリームごとに別のマッピングを作成します。
    分析ストリーム マッピングの作成]ダイアログが表示されます。
    Create Analyti Stream Mappings dialog
  3. 分析ストリーム]リストで、分析ストリームを選択します。
  4. マッピングする1つ以上のデータ ソース(Concentrator)を構成します。構成では、次の手順を実行します。
    1. Add iconをクリックします。
      [使用可能なサービス]ダイアログ ボックスに、[管理]>[サービス]ビューから使用可能なデータ ソースが表示されます。
      Available Services dialog showing available data sources
    2. 使用可能なサービス]ダイアログで[Concentrator]を選択し、[OK]をクリックします。
      [サービスの追加]ダイアログが表示されます。
      Add Service dialog - empty
    3. サービスの追加]ダイアログで、Concentratorの管理者のユーザ名とパスワードを入力します。
    4. 接続のテスト]をクリックして、Cloud Gatewayサービスと通信できることを確認します。
      Add Service dialog - Test Connection successful
    5. OK]をクリックします。
      データ ソースを構成して[ソース]リストに表示されるようになると、他のマッピングを追加する際に再利用できます。
  5. ソース]リストで、分析ストリームのデータを集計するデータ ソースを1つ以上選択します。
    Create Analytic Stream Mappings dialog showing a mapping
    緑色で塗り潰された丸は実行中のサービスを、白色の丸は停止中のサービスを示します。
  6. サービス]リストで、分析ストリームのデータを処理するCloud Gatewayサービスを選択します。
  7. 必要に応じて、選択したConcentratorのデータをクエリするために使用する遅延時間を指定します。
    遅延時間(分)]に、アクティビティ集中時にデータ ソースが処理中のイベントを失わないようにするため、固定の遅延時間を分単位で指定します。たとえば、Concentratorのパフォーマンスは、データ受信量、同時実行中のクエリ数、インデックス作成などの要因によって異なります。これらの要因により、Concentratorはイベントをリアルタイムで集計できないことがあり、これが遅延につながります。
    遅延時間パラメータを設定することにより、Concentratorが全データの集計を完了する可能性が高くなります。
    データの集計は、現在の(システム)時刻 - 遅延時間のデータから開始します。遅延時間の設定は、Concentratorによるデータの集計が遅い場合に役に立ちます。遅延時間により、CBA(Cloud Behavioral Analytics)が、遅延時間の期間は、Concentratorに到着するデータを処理しないことが保証されるため、発生したすべてのイベントが確実にCBAで処理されるよう適切な遅延時間を指定します。
    たとえば、遅延時間が30分、現在時刻が午後2時00分の場合、Concentratorは午後1時30分のレコードから取得します。時間が進んでも、遅延時間の幅(この例では30分)は常に同じです。現在の時間が午後2時01分に進むと、Concentratorは1分進んだ午後1時31分のデータを取得します。以降も同様です。
    重要:遅延時間は、現在時刻と分析ストリームがデータを取得する時刻のバッファを定義します。
  8. 注意:RSAでは、集計中のイベントが欠落しないように、管理者が個々のConcentratorのパフォーマンスに応じて動的に遅延時間パラメータを調整することを推奨します。

  9. 作成]をクリックします。
    作成したマッピングが既存のマッピングの一覧の中に、[導入解除]のステータスで表示されます。
    CBA Gateway Mappings panel - Undeployed mapping
    重要:分析ストリームを開始してデータの集計を開始するには、その分析ストリームを導入する必要があります。

Cloud Gateway分析ストリーム マッピングの導入

マッピングを作成した後、分析ストリームのデータの集計を開始するためには、マッピングを導入する必要があります。

  1. マッピングの一覧で、導入したいマッピングのステータスが[導入解除]であることを確認します。
  2. [導入解除]ステータスのマッピングを1つ以上選択して、[今すぐ導入]をクリックします。
    選択した[導入解除]ステータスのすべてのマッピングが、マッピングに構成されているデータの集計を開始します。マッピングのステータスが[導入済み]に変化します。
    すでに導入済みのマッピングを導入することはできません。

マッピングの更新

マッピングは、分析ストリームごとに1つだけ作成できます。Concentratorの追加や削除、サービスの変更など、導入済みのマッピングに変更を加える場合は、既存のマッピングを導入解除して削除し、新しく分析ストリーム マッピングを作成して導入する必要があります。

次の更新は、導入済みのマッピングを削除することなく更新できます。

  • マッピングの導入解除
  • 遅延時間の変更

導入解除されたマッピングの遅延時間も変更できます。

マッピングの導入解除

分析ストリーム マッピングのデータ集計を停止したいが、削除はしたくない場合、導入解除します。これにより、将来、そのマッピングを再度導入することができます。マッピングを導入解除すると、指定されたCloud Gatewayサービスは、分析ストリームのデータ ソースからのデータ取得を停止します。

注意:ステータスが[導入済み]のマッピングを導入解除すると、分析ストリームのデータ集計が影響を受けます。

マッピングの導入を解除するには、次の手順を実行します。

  1. [Cloud Gateway分析ストリーム マッピング]パネルで、導入解除したい導入済みマッピングを選択します。
  2. アクション]列で、Actions icon導入解除]を選択します。
    ステータスが[導入済み]から[導入解除]に変化してデータの集計が停止します。

マッピングの削除

[導入解除]ステータスのマッピングはいつでも削除できます。[導入解除]ステータスのマッピングは実行されていないため、データの集計に影響しません。

削除する前に「導入済み」ステータスのマッピングを導入解除する必要があります。マッピングの導入解除や削除をすると、Cloud Gateway Serverから構成がクリアされ、マッピングの導入が取り消され、データ ソースからの分析ストリームのデータの取得が停止されます。

注意:マッピングの導入解除や削除をすると、その分析ストリームのデータ集計が影響を受けます。

マッピングを削除するには、次の手順を実行します。

  1. [Cloud Gateway分析ストリーム マッピング]パネルで、削除したいマッピングを選択します。一度に削除できるマッピングは1つだけです。
  2. Delete iconをクリックします。

遅延時間の変更

必要に応じて、分析ストリームの遅延時間を変更できます。遅延時間は、現在のシステム時刻と分析ストリームがデータを取得する時刻のバッファを定義します。

  1. [Cloud Gateway分析ストリーム マッピング]パネルで変更するマッピングを選択し、[アクション]列で、Actions iconモジュールの編集]を選択します。
    [分析ストリームの設定]ダイアログに、選択した分析ストリーム、Cloud Gatewayサービス、データ ソースのマッピングが表示されます。データ ソースには、Cloud Gatewayサービスとの通信に使用されるURLが表示されます。
    Analytic Stream Settings dialog
  2. 必要に応じて[遅延時間(分)]を調整し、マッピングのConcentratorがすべてのデータの集計を完了するために必要な追加の時間を指定します。
  3. 保存]をクリックします。
    変更はすぐに反映されません。設定を反映させるには、マッピングを導入解除してから再導入する必要があります。
  4. マッピングを導入解除するには、[Cloud Gateway分析ストリーム マッピング]パネルで導入解除するマッピングを選択し、Actions icon導入解除]を選択します。
    選択したマッピングのデータの集計が停止します。
  5. マッピングを再導入するには、導入するマッピングを選択し、Actions icon導入]を選択します。
    選択したマッピングが導入され、マッピングに構成されているデータの集計が開始します。

Cloud Gatewayの監視

NetWitness SuiteではRSA Cloud Gatewayサービスの統計を監視できます。

[サービス]ビューで[Cloud Gateway Serverサービス]を選択し、actions icon>[表示]>[エクスプローラ]を選択します。[エクスプローラ]ビューには、監視が必要なCloud Gatewayの重要な統計情報が表示されます。必要に応じて、分析ストリーム マッピングを調整できます。

次の図は、ストリームごとに確認したほうがよい2つの重要な統計を示します。

  • upload-bytes-meter:この統計は、1秒あたりの平均アップロード バイト数を示します。これはアップロード レート(バイト単位)です。
  • events-seen-meter:この統計は、1秒あたりにConcentratorから取得されたイベントの数を示します。これは読み取りレート(件数)です。

統計名の最初の部分は分析ストリーム名です。次の例では、分析ストリーム名はC2です。

C2/pipe/compressed/upload-bytes-meter

Cloud Gateway Server service Config Explore view - Top - showing the stream name "C2", upload-bytes-meter, and events-seen-meter

下にスクロールすると、その他の統計を確認できます。複数の分析ストリームがある場合は、他のストリームの統計も表示されます。次の例では、分析ストリームC2C2Packetsの統計が表示されています。

Cloud Gateway Server service Config Explore view - Bottom

注:
- 導入された各分析ストリームは、ネットワークのインターネット出力ポイントに追加の負荷をかけることになります。アップロード統計(upload-bytes-meterなど)を確認してください。
- 追加するすべての分析ストリームがConcentratorに影響します。events-seen-meter統計を確認し、「システム メンテナンス ガイド」の「サービスの詳細の監視」を参照してください。
- 分析ストリームは、そのタイプの情報をアクティブに収集するConcentratorにマッピングしてください。たとえばHTTP分析ストリームは、HTTPアクティビティを収集するConcentratorでのみアクティブにする必要があります。

You are here
Table of Contents > Cloud Gateway分析ストリームのマッピング

Attachments

    Outcomes