このトピックでは、Endpoint Serverサービスを構成するために必要なタスクの概要を説明します。
タスク | 説明 |
---|---|
Endpoint HybridまたはEndpoint Log Hybridのインストール | 「物理ホスト インストール ガイド」および「仮想ホスト設定ガイド」を参照してください。 注:Endpoint HybridまたはEndpoint Log Hybridをインストールしたら、次の手順を実行し、Endpoint ServerのホストIPアドレスをNW Serverに登録します。 |
NetWitness Endpoint 11.1エージェントのメタデータ転送の構成 | ログやパケットと同に、[ナビゲート]ビューと[イベント分析]ビューでエンドポイント メタデータを表示できます。エンドポイント データのレポートとアラートを生成することもできます。[エンドポイント メタ]オプションは、デフォルトでは無効になっています。メタデータを転送するには、[エンドポイント メタ]オプションを有効にして、エージェントをインストールする必要があります。 |
ホストへのエージェントのインストール | Endpointエージェント インストーラーは、NetWitness Suiteユーザ インタフェースの[管理]>[サービス]>[構成]>[Endpoint Server]の下にある[Packager]タブを使用して生成されます。パッケージとは、Linux、Mac、Windowsオペレーティング システム用のエージェント インストーラーを生成するための実行可能ファイルおよび構成ファイルを含むzipファイルです。1つのホストには、1つのバージョンのエージェントのみをインストールできます。以前のバージョン(4.4など)のエージェントがインストールされている場合は、そのエージェントをアンインストールしてから11.1エージェントをインストールします。 エージェントがインストールされると、[調査]>[ホスト]ビューに表示されます。デフォルトでは、初回のエンドポイント データはポストされます。それ以降のエンドポイント データを収集するには、スキャンをスケジュールするか、アドホック スキャンを実行する必要があります。スキャンは、ホスト上で見つかったドライバ、プロセス、DLL、ファイル(実行可能ファイル)、サービス、Autorun、セキュリティ情報、システム構成、スクリプトなどのデータを取得します。 エージェントにログ収集が構成されている場合、エージェントはWindowsホストからログを収集して、Log DecoderまたはRemote Log Collectorに転送します。Endpointエージェントのインストールの詳細については、「Endpoint Insightsエージェント インストール ガイド」を参照してください。 |
エンドポイント データの調査 | [調査]>[ホスト]ビューと[調査]>[ファイル]ビューで、エンドポイント データを調査できます。詳細については、「Investigateユーザ ガイド」を参照してください。 |
毎日または毎週実行するようにスキャンをスケジュールします。 | |
データ保存ポリシーの構成 | エンドポイント データの経過時間またはサイズに基づいて、エンドポイント データを最適に保存および管理するためのデータ保存ポリシーを定義します。 デフォルトでは、30日分のエージェント データが保存されます。 |
非アクティブなエージェントの管理 | デフォルトでは、Endpoint Serverと90日間通信していないエージェントは(収集されたすべてのエンドポイント データを含め)自動的に削除されます。 |