エンドポイント:NetWitness Endpoint 11.1エージェントのメタデータ転送の構成

Document created by RSA Information Design and Development on Oct 12, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

ログやパケットと同様に、エンドポイントのメタデータをNetWitness Suiteの[調査]ビュー([ナビゲート]ビューと[イベント分析]ビュー)で表示できます。次のカテゴリのメタデータを転送するには、メタデータ転送を有効にする必要があります。

                       
オペレーティング システムカテゴリ
Windows ファイル、サービス、DLL、プロセス、タスク、Autorun、およびマシン
Linux ファイル、ロード済みライブラリ、Systemd、プロセス、cron、initd、およびマシン
Macファイル、デーモン、プロセス、タスク、Dylib、Autorun、およびマシン

メタデータ転送の構成

  1. 管理]>[サービス]に移動します。

  2. [サービス]ビューで、[Endpoint Server]サービスを選択します。

  3. をクリックして、[表示]>[構成]を選択します。

  4. 全般]タブをクリックします。

    Configure the Endpoint Meta

  5. ツールバーのAdd Endpoint Metaをクリックします。
    [使用可能なサービス]ダイアログが表示されます。

  6. Log Decoderサービスを選択し、[OK]をクリックします。
    [サービスの追加]ダイアログが表示されます。Log Decoderサービスは1つだけ追加できます。
    Add Services

  7. 管理者の認証情報を入力します。

  8. (オプション)[RAWデータ]を有効にした場合、メタデータと一緒にセッションのサマリが送信されます。

  9. (オプション)Log DecoderのRESTポートでSSLを有効にする場合は、[REST SSL]オプションを選択します。デフォルトでは、RESTポートは、非SSLの場合は50202、SSLの場合は56202です。

  10. Protobuf SSL]オプションを選択し、ProtobufでSSLを有効にします。デフォルトでは、Protobufポートは50202です。

  11. 保存]をクリックします。

メタデータ転送を設定した後に、次のタスクを忘れずに実行してください。

  • Log Decoderで収集を開始する
  • Concentratorで集計を開始する
  • ConcentratorでサービスとしてLog Decoderを追加する

Log Decoderへのメタデータ転送の開始

  1. [エンドポイント メタ]構成ページで、サービスを選択します。
  2. をクリックします。
    Endpoint Serverは、Log Decoderへのメタデータの転送を開始します。

Log Decoderへのメタデータ転送の停止

  1. [エンドポイント メタ]構成ページで、サービスを選択します。
  2. をクリックします。
    Endpoint Serverは、Log Decoderへのメタデータの転送を停止します。

メタデータ転送の削除

注:メタデータ転送を削除する前に、必ずサービスを停止してください。

  1. [エンドポイント メタ]構成ページで、サービスを選択します。
  2. をクリックします。
  3. 適用]をクリックします。

エンドポイント メタ マッピング

デフォルトのメタ マッピングを表示したり、エンドポイントのメタ マッピングを変更することができます。

メタ マッピングのJSONスキーマ

すべてのメタ マッピングは、JSONスキーマを使用して構成します。次にJSONスキーマの例を示します。

{

"metaKeyPairs" : [

{

"metaKeyPairsCategory" : "",

"keyPairs" : [

{

"endpointJpath" : "",

"metaName" : "",

"type" : "",

"enabled" : true

},

{

"endpointJpath" : "",

"metaName" : "",

"type" : "",

"enabled" : true

}

]

}

]

}

次のAPIを使用してメタ マッピングを表示したり変更したりできます。

  • get-default - エンドポイント メタ マッピングのデフォルト構成を返します。
  • get-custom - エンドポイント メタ マッピングのカスタム構成を返します。
  • set-custom - エンドポイント メタ マッピングをカスタマイズできます。

メタ マッピングの表示

エンドポイント メタ マッピングを表示するには、次の手順を実行します。

  1. NW Serverで、nw-shellコマンドをコマンド ラインから実行します。

  2. loginコマンドを実行し、認証情報を入力します。

  3. 次のコマンドを使用してEndpoint Serverに接続します。
    connect --host <IP address> --port <number>

    注:デフォルト ポートは7050です。

  4. 次のコマンドを実行します。
    cd endpoint/meta
    cd get-default
    invoke

次の画面は、デフォルトのメタ マッピングを示しています。

Default meta mappings

デフォルトのメタ マッピングを無効化:

同じendpointJpath値を入力し、enabledパラメータをfalseに設定します。

たとえば、endpointJpathがCategory で、enabledパラメータがtrueである場合、同じendpointJpathを入力し、enabledパラメータをfalseに設定します。

Disable default meta mapping

注:スキーマ内のmetaKeyPairsCategoryの値(「COMMON」、「COMMON_MACHINE」、「COMMON_MACHINE_FOR_EVENTS」)は変更しないでください。

メタの名前またはメタのタイプを変更:

同じendpointJpath値を入力し、metaNameとtypeの値を指定します。

注:metaNameを[調査]ビューに表示するには、Log Decoderのtable-map.xmlファイル、Concentratorのindex-concentrator.xmlまたはindex-concentrator-custom.xmlファイルに、metaNameが存在する必要があります。

メタ マッピングの追加または変更

メタ マッピングを追加または変更するには、set-custom APIを実行します。JSONファイルに指定するmetaKeyPairs構成は、get-default APIを使用して取得した、デフォルト構成のJSONスキーマと一致している必要があります。

  1. NW Serverで、nw-shellコマンドをコマンド ラインから実行します。

  2. loginコマンドを実行し、認証情報を入力します。

  3. 次のコマンドを使用してEndpoint Serverに接続します。
    connect --host <IP address> --port <number>

    注:デフォルトのポート番号は7050です。

  4. 次のコマンドを実行します。
    cd endpoint/meta
    cd set-custom
    invoke –file <json file>

set-custom APIを使用してエントリーを追加したファイルをアップロードすることにより、新しいmetaKeysを追加できます。次の例は、新しいメタ マッピングを追加する手順を示しています。

Add custom meta mapping

カスタム メタ マッピングの表示

カスタム メタ マッピングを表示するには、get-custom APIを実行します。

注:get-custom APIは、set-custom APIを使用してメタ マッピングが変更されている場合にのみ値を返します。

You are here
Table of Contents > NetWitness Endpoint 11.1エージェントのメタデータ転送の構成

Attachments

    Outcomes