注:このガイドに記載されている情報はバージョン11.1以降に適用されます。
RSA NetWitness Endpointは、Windows、Mac、Linuxホストからエンドポイント データを収集し、そのデータを使用して調査、レポート、アラート、分析を実行します。アナリストは、いつでも即時スキャンを実行して、ホストの動作を詳しく調べることができます。さらに、Endpointは、Windowsホストのログを収集することができます。NetWitness Endpoint Insightsは、Endpoint HybridとEndpoint Log Hybridの2種類のホストを提供します。1つの導入環境にインストールできるのは、1つのホスト タイプのみです。つまり、Endpoint HybridまたはEndpoint Log Hybridのどちらか一方のみを導入できます。導入後にこのタイプを変更することはできません。
Endpoint Hybrid:エンドポイント(ホスト)データを収集して管理します。また、調査、分析、アラート、レポートのためのメタデータを生成します。Log DecoderまたはPacket Decoderと同様に構成および管理されます。Endpoint Hybridでは、Nginx Server(リバース プロキシ モード)が実行され、このサービスがEndpointエージェントからデータを受信します。Endpoint Hybridでは次のサービスが実行されます。
- Endpoint Server:Nginx Serverが受信したデータを管理し、そのデータをMongoデータベースに保存し、Log Decoderにメタデータを送信します。
- Log Decoder:Endpoint Serverからデータを取得し、メタデータを処理します。
- Concentrator:Log Decoderのメタデータを集計し、他のNetWitness DecoderやConcentratorと同様に、Investigate、Reporting Engine、Event Stream Analysisなどの上流コンポーネントで使用できるようにします。
Endpoint Log Hybrid:エンドポイントとログの両方のデータを収集します。Endpoint Hybridで実行されるサービスに加え、Endpoint Log Hybridでは、Log Collectorサービスが実行されます。このサービスは、Windowsホストからログを収集するとともに、NetWitness Suiteのログ収集でサポートされているその他すべてのイベント ソースからもログを収集します。
「ホストおよびサービス スタート ガイド」には、すべてのNetWitness Suiteサービスを理解し、インストールするために必要な情報が記載されています。
基本的な構成として、以下のタスクを実行する必要があります。
- ホストにエージェントをインストールする
- エンドポイント メタ転送、スキャン スケジュール、保存ポリシーを構成する
- Endpoint Serverをモニタするためのヘルス モニタ ポリシーを定義する
NetWitness Suiteユーザ インタフェースのサービスの管理の構成ページ([管理]>[サービス]>[Endpoint Server]>[構成])のオプションを使用して、必要な設定を行います。
