エンドポイント:概要

Document created by RSA Information Design and Development on Oct 12, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

注:このガイドに記載されている情報はバージョン11.1以降に適用されます。

RSA NetWitness Endpointは、Windows、Mac、Linuxホストからエンドポイント データを収集し、そのデータを使用して調査、レポート、アラート、分析を実行します。アナリストは、いつでも即時スキャンを実行して、ホストの動作を詳しく調べることができます。さらに、Endpointは、Windowsホストのログを収集することができます。NetWitness Endpoint Insightsは、Endpoint HybridとEndpoint Log Hybridの2種類のホストを提供します。1つの導入環境にインストールできるのは、1つのホスト タイプのみです。つまり、Endpoint HybridまたはEndpoint Log Hybridのどちらか一方のみを導入できます。導入後にこのタイプを変更することはできません。

Endpoint Hybrid:エンドポイント(ホスト)データを収集して管理します。また、調査、分析、アラート、レポートのためのメタデータを生成します。Log DecoderまたはPacket Decoderと同様に構成および管理されます。Endpoint Hybridでは、Nginx Server(リバース プロキシ モード)が実行され、このサービスがEndpointエージェントからデータを受信します。Endpoint Hybridでは次のサービスが実行されます。

  • Endpoint Server:Nginx Serverが受信したデータを管理し、そのデータをMongoデータベースに保存し、Log Decoderにメタデータを送信します。
  • Log Decoder:Endpoint Serverからデータを取得し、メタデータを処理します。
  • Concentrator:Log Decoderのメタデータを集計し、他のNetWitness DecoderやConcentratorと同様に、Investigate、Reporting Engine、Event Stream Analysisなどの上流コンポーネントで使用できるようにします。

Endpoint Log Hybrid:エンドポイントとログの両方のデータを収集します。Endpoint Hybridで実行されるサービスに加え、Endpoint Log Hybridでは、Log Collectorサービスが実行されます。このサービスは、Windowsホストからログを収集するとともに、NetWitness Suiteのログ収集でサポートされているその他すべてのイベント ソースからもログを収集します。

ホストおよびサービス スタート ガイド」には、すべてのNetWitness Suiteサービスを理解し、インストールするために必要な情報が記載されています。

基本的な構成として、以下のタスクを実行する必要があります。

  • ホストにエージェントをインストールする
  • エンドポイント メタ転送、スキャン スケジュール、保存ポリシーを構成する
  • Endpoint Serverをモニタするためのヘルス モニタ ポリシーを定義する

NetWitness Suiteユーザ インタフェースのサービスの管理の構成ページ([管理]>[サービス]>[Endpoint Server]>[構成])のオプションを使用して、必要な設定を行います。

Endpoint Configuration

You are here
Table of Contents > NetWitness Endpoint Insights の概要

Attachments

    Outcomes