エンドポイント:NetWitness Endpoint 11.1エージェントのメタデータ転送の構成

Document created by RSA Information Design and Development Employee on Oct 12, 2018Last modified by RSA Information Design and Development Employee on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

ログやパケットと同様に、エンドポイントのメタデータをNetWitness Suiteの[調査]ビュー([ナビゲート]ビューと[イベント分析]ビュー)で表示できます。次のカテゴリのメタデータを転送するには、メタデータ転送を有効にする必要があります。

                       
オペレーティング システムカテゴリ
Windows ファイル、サービス、DLL、プロセス、タスク、Autorun、およびマシン
Linux ファイル、ロード済みライブラリ、Systemd、プロセス、cron、initd、およびマシン
Macファイル、デーモン、プロセス、タスク、Dylib、Autorun、およびマシン

メタデータ転送の構成

  1. 管理]>[サービス]に移動します。

  2. [サービス]ビューで、[Endpoint Server]サービスを選択します。

  3. をクリックして、[表示]>[構成]を選択します。

  4. 全般]タブをクリックします。

    Configure the Endpoint Meta

  5. ツールバーのAdd Endpoint Metaをクリックします。
    [使用可能なサービス]ダイアログが表示されます。

  6. Log Decoderサービスを選択し、[OK]をクリックします。
    [サービスの追加]ダイアログが表示されます。Log Decoderサービスは1つだけ追加できます。
    Add Services

  7. 管理者の認証情報を入力します。

  8. (オプション)[RAWデータ]を有効にした場合、メタデータと一緒にセッションのサマリが送信されます。

  9. (オプション)Log DecoderのRESTポートでSSLを有効にする場合は、[REST SSL]オプションを選択します。デフォルトでは、RESTポートは、非SSLの場合は50202、SSLの場合は56202です。

  10. Protobuf SSL]オプションを選択し、ProtobufでSSLを有効にします。デフォルトでは、Protobufポートは50202です。

  11. 保存]をクリックします。

メタデータ転送を設定した後に、次のタスクを忘れずに実行してください。

  • Log Decoderで収集を開始する
  • Concentratorで集計を開始する
  • ConcentratorでサービスとしてLog Decoderを追加する

Log Decoderへのメタデータ転送の開始

  1. [エンドポイント メタ]構成ページで、サービスを選択します。
  2. をクリックします。
    Endpoint Serverは、Log Decoderへのメタデータの転送を開始します。

Log Decoderへのメタデータ転送の停止

  1. [エンドポイント メタ]構成ページで、サービスを選択します。
  2. をクリックします。
    Endpoint Serverは、Log Decoderへのメタデータの転送を停止します。

メタデータ転送の削除

注:メタデータ転送を削除する前に、必ずサービスを停止してください。

  1. [エンドポイント メタ]構成ページで、サービスを選択します。
  2. をクリックします。
  3. 適用]をクリックします。

エンドポイント メタ マッピング

デフォルトのメタ マッピングを表示したり、エンドポイントのメタ マッピングを変更することができます。

メタ マッピングのJSONスキーマ

すべてのメタ マッピングは、JSONスキーマを使用して構成します。次にJSONスキーマの例を示します。

{

"metaKeyPairs" : [

{

"metaKeyPairsCategory" : "",

"keyPairs" : [

{

"endpointJpath" : "",

"metaName" : "",

"type" : "",

"enabled" : true

},

{

"endpointJpath" : "",

"metaName" : "",

"type" : "",

"enabled" : true

}

]

}

]

}

次のAPIを使用してメタ マッピングを表示したり変更したりできます。

  • get-default - エンドポイント メタ マッピングのデフォルト構成を返します。
  • get-custom - エンドポイント メタ マッピングのカスタム構成を返します。
  • set-custom - エンドポイント メタ マッピングをカスタマイズできます。

メタ マッピングの表示

エンドポイント メタ マッピングを表示するには、次の手順を実行します。

  1. NW Serverで、nw-shellコマンドをコマンド ラインから実行します。

  2. loginコマンドを実行し、認証情報を入力します。

  3. 次のコマンドを使用してEndpoint Serverに接続します。
    connect --host <IP address> --port <number>

    注:デフォルト ポートは7050です。

  4. 次のコマンドを実行します。
    cd endpoint/meta
    cd get-default
    invoke

次の画面は、デフォルトのメタ マッピングを示しています。

Default meta mappings

デフォルトのメタ マッピングを無効化:

同じendpointJpath値を入力し、enabledパラメータをfalseに設定します。

たとえば、endpointJpathがCategory で、enabledパラメータがtrueである場合、同じendpointJpathを入力し、enabledパラメータをfalseに設定します。

Disable default meta mapping

注:スキーマ内のmetaKeyPairsCategoryの値(「COMMON」、「COMMON_MACHINE」、「COMMON_MACHINE_FOR_EVENTS」)は変更しないでください。

メタの名前またはメタのタイプを変更:

同じendpointJpath値を入力し、metaNameとtypeの値を指定します。

注:metaNameを[調査]ビューに表示するには、Log Decoderのtable-map.xmlファイル、Concentratorのindex-concentrator.xmlまたはindex-concentrator-custom.xmlファイルに、metaNameが存在する必要があります。

メタ マッピングの追加または変更

メタ マッピングを追加または変更するには、set-custom APIを実行します。JSONファイルに指定するmetaKeyPairs構成は、get-default APIを使用して取得した、デフォルト構成のJSONスキーマと一致している必要があります。

  1. NW Serverで、nw-shellコマンドをコマンド ラインから実行します。

  2. loginコマンドを実行し、認証情報を入力します。

  3. 次のコマンドを使用してEndpoint Serverに接続します。
    connect --host <IP address> --port <number>

    注:デフォルトのポート番号は7050です。

  4. 次のコマンドを実行します。
    cd endpoint/meta
    cd set-custom
    invoke –file <json file>

set-custom APIを使用してエントリーを追加したファイルをアップロードすることにより、新しいmetaKeysを追加できます。次の例は、新しいメタ マッピングを追加する手順を示しています。

Add custom meta mapping

カスタム メタ マッピングの表示

カスタム メタ マッピングを表示するには、get-custom APIを実行します。

注:get-custom APIは、set-custom APIを使用してメタ マッピングが変更されている場合にのみ値を返します。

You are here
Table of Contents > NetWitness Endpoint 11.1エージェントのメタデータ転送の構成

Attachments

    Outcomes