次のいずれかの方法で、NetWitness Endpoint 4.4.0.2のエンドポイント メタデータを構成できます。
- (オプション1)NetWitness Endpoint 4.4.0.2 Console ServerをEndpoint HybridまたはEndpoint Log Hybridに統合する : NetWitness Endpoint 4.4.0.2以降のエージェント データを、[調査]>[ホスト]ビューおよび[ファイル]ビューで表示できます。また、[調査]>[ナビゲート]ビューおよび[イベント分析]ビューでエンドポイント メタデータを表示できます。このオプションを使用する場合は、Endpoint Serverにメタデータ転送を構成する必要があります。
- (オプション2)NetWitness Endpoint 4.4.0.2のMeta IntegratorサービスをLog Decoderに直接統合する : [調査]>[ナビゲート]ビューと[イベント分析]ビューで、エンドポイント メタデータを表示できます。NetWitness Endpoint 4.4エージェントのデータは、[調査]>[ホスト]ビューおよび[ファイル]ビューでは利用できません。
NetWitness Endpoint 11.1エージェントが転送するカテゴリに加えて、NetWitness Endpoint 4.4.0.2以降のエージェントでは、ファイル イベント、ネットワーク イベント、レジストリ イベント、およびプロセス イベントのカテゴリも転送されます。
NetWitness Endpoint 4.4.0.2 Console Serverの構成
NetWitness Endpoint 4.4.0.2 Console Serverでのクライアント証明書の構成(オプション1の場合)
NetWitness Endpoint 4.4.0.2 Console Serverは、Endpoint Serverにメタデータを転送するためにNetWitness Endpoint 11.1が使用するのと同じクライアント証明書を使用する必要があります。
-
エージェント パッケージをダウンロードします。詳細については、「Endpoint Insightsエージェント インストール ガイド」を参照してください。
-
AgentPackager.zipを解凍し、Configフォルダからクライアント証明書を取得します。
-
クライアント証明書をNetWitness Endpoint 4.4 Console Serverにコピーします。
-
clientファイルをダブル クリックします。
[証明書のインポート ウィザード]ダイアログが表示されます。 -
インポートするファイルを参照して[次へ]をクリックします。
-
[次へ]をクリックし、[完了]をクリックします。
証明書が、Console Serverの[個人]、[中間証明書機関]>[証明書]、[信頼されたルート証明機関]の下に追加されます。
NetWitness Endpoint 4.4.0.2でメタデータ転送を有効化(オプション1の場合)
選択したNetWitness Endpoint 4.4.0.2エージェントのメタデータ転送を有効にするには、次のコマンドを実行します。
ConsoleServer.exe /nw-investigate set-endpointdecoder baseuri <ENDPOINT HOST> certificate <CERTIFICATE DISPLAY NAME>.
例:ConsoleServer.exe /nw-investigate set-endpointdecoder baseuri https://<Ip Address>:443 certificate rsa-nw-endpoint-agent
NetWitness Endpoint 4.4.0.2でLog Decoderへのメタデータ転送を有効化 (オプション2の場合)
選択したNetWitness Endpoint 4.4.0.2エージェントのMetadata Integratorサービスを有効にするには、次のコマンドを実行します。
ConsoleServer.exe /nw-investigate enable.
NetWitness Endpoint 4.4.0.2からNetWitness Endpoint Serverへのメタデータ転送を各マシンで有効化(オプション1と2)
前述のオプションのいずれかを使用してメタデータ転送を有効にした後、各マシンでメタデータ転送を有効にするため、次の手順を実行します。
-
NetWitness Endpoint 4.4.0.2ユーザ インタフェースを開きます。
-
左側のパネルで、[Machines]をクリックします。利用可能なマシンのリストが表示されます。
-
NetWitness Endpoint Serverにメタデータを転送するマシンを選択します。
-
右クリックし、[NetWitness Investigate]オプションを選択します。
[Change NetWitness Investigate Status]ダイアログが表示されます。 -
[Enable NetWitness Investigate]オプションを選択します。
-
[Apply]をクリックします。
-
[Enable NetWitness Investigate]オプションが有効になっていることを検証するため、ステップ4を繰り返します。