CBA: Zuordnungen analytischer Streams in Cloud Gateway

Document created by RSA Information Design and Development on Oct 18, 2018
Version 1Show Document
  • View in full screen mode
 

Im Bereich „Zuordnungen analytischer Streams in Cloud Gateway“ (ADMIN > „System“ > „Cloud Gateway“) definieren Sie die Ressourcen, die RSA NetWitness Suite Cloud Behavioral Analytics (CBA) verwendet, um Advanced Threats automatisch zu erkennen.

Das RSA Cloud Gateway kann so konfiguriert werden, dass analytische Streams automatisch von einem oder mehreren Concentrators zu Cloud Behavioral Analytics (CBA) hochgeladen werden. Ein analytischer Stream ist eine Pipeline mit ausgewählten Datenverkehrsaktivitäten, die für die Analyse verwendet wird. Analytische Streams können z. B. HTTP-, FTP-, SMB- oder DNS-Datenverkehr enthalten. Durch die Erstellung und Bereitstellung von Zuordnungen analytischer Streams zwischen Concentrator-Datenquellen und Cloud Gateway-Services werden Datenströme automatisch an die Cloud zur Analysenverarbeitung weitergeleitet.

Workflow

Dieser Workflow zeigt den Prozess zum Erstellen und Aktivieren eines analytischen Streams für das Cloud Gateway, um die automatische Ermittlung von Advanced Threats zu starten.

Cloud Gateway Analytics Stream Mappings workflow

Bevor Sie eine Zuordnung analytischer Streams in Cloud Gateway erstellen, stellen Sie sicher, dass die NetWitness Suite-Hosts und -Services, die Sie für Ihre Zuordnungen verwenden möchten, online und verfügbar sind. Alle Services müssen mit einer konsistenten Zeitquelle synchronisiert sein. Stellen Sie sicher, dass die Concentrators die erforderlichen Daten erfassen. Cloud Gateway-Services müssen bereitgestellt sein, damit Cloud Behavioral Analytics aktiviert werden kann.

Wenn Sie eine Zuordnung erstellen, wählen Sie einen zuzuordnenden analytischen Stream aus, wie etwa HTTP. Dann wählen Sie die Datenquellen, z. B. Concentrators, die für diesen analytischen Stream zusammen mit einem Cloud Gateway-Service für die Verarbeitung der Daten verwendet werden sollen. Wenn Sie zum Starten der Aggregation von Daten bereit sind, stellen Sie die Zuordnung bereit. (Zukünftig) Analysten können erkannte Bedrohungen für diesen analytischen Stream in der NetWitness Suite-Benutzeroberfläche anzeigen.

Was möchten Sie tun?

                                           
Rolle ZielDetails anzeigen
Administrator

Stellen Sie sicher, dass die NetWitness Suite-Hosts und -Services online und verfügbar sind.

ADMIN > Hosts und ADMIN > Services
Siehe Leitfaden für die ersten Schritte mit Hosts und Services.

Administrator

Stellen Sie sicher, dass die Concentrators die erforderlichen Daten erfassen.

Siehe Konfigurationsleitfaden für Broker und Concentrator

Administrator

Bereitstellung des Cloud Gateway

Bereitstellen eines Cloud Gateway

AdministratorErstellen von Zuordnungen analytischer Streams in Cloud Gateway*

Zuordnen analytischer Streams für das Cloud Gateway

AdministratorBereitstellen von Zuordnungen analytischer Streams in Cloud Gateway*

Zuordnen analytischer Streams für das Cloud Gateway

Administrator,
Analyst
Anzeigen erkannter Bedrohungen

Siehe NetWitness Respond – Benutzerhandbuch und NetWitness Investigate – Benutzerhandbuch.

*Sie können diese Aufgaben hier (im Bereich „Zuordnungen analytischer Streams in Cloud Gateway“) durchführen.

Verwandte Themen

Überblick

Das folgende Beispiel zeigt eine Zuordnung eines analytischen Streams für das Cloud Gateway. Die Konfiguration definiert die Datenquellen für den analytischen Stream und den Cloud Gateway-Service, der die Ereignisse aus diesen Datenquellen verarbeiten wird.

Cloud Gateway Analytics Stream Mappings diagram

                                 
1Zeigt den Bereich „Zuordnungen analytischer Streams in Cloud Gateway“ an.
2Zeigt den Status der Zuordnung.
3Der Name des analytischen Streams, der zugeordnet wird.
4Datenquellen wie Concentrators, die der Zuordnung zugewiesen sind.
5Cloud Gateway-Service, der die Daten für die Zuordnung verarbeitet.
6Konfiguration der Verzögerungszeit (in Minuten) für die Datenquellen der Zuordnung.
7Aktionen für die Änderung von Einstellungen für den analytischen Stream, für die Bereitstellung von Zuordnungen und für die Aufhebung der Bereitstellung von Zuordnungen.

Symbolleiste

In der folgenden Tabelle werden die Aktionen der Symbolleiste beschrieben.

                       

Symbol/

Schaltfläche

Beschreibung

Add.png

Öffnet das Dialogfeld „Zuordnungen erstellen“, in dem Sie eine Zuordnung erstellen können. Erstellen Sie eine separate Zuordnung für jeden analytischen Stream.
Nach dem Erstellen und Überprüfen der Zuordnungen stellen Sie diese bereit.

Delete icon

Löscht eine Zuordnung.

  • Sie können eine Zuordnung mit dem Status „Nicht bereitgestellt“ zu einem beliebigen Zeitpunkt löschen. Da eine Zuordnung mit dem Status „Nicht bereitgestellt“ nicht bereitgestellt ist und nicht ausgeführt wird, ergeben sich keine Auswirkungen auf die Datenaggregation.

  • Durch das Löschen einer bereitgestellten Zuordnung wird die Konfiguration auf dem Hostserver gelöscht, die Bereitstellung für diese Zuordnung zurückgesetzt und das Abrufen von Daten aus der Datenquelle für diesen analytischen Stream gestoppt. Sie müssen die Bereitstellung einer Zuordnung mit dem Status „Bereitgestellt“ aufheben, bevor Sie sie löschen.

Jetzt bereitstellenNachdem Sie Ihre Zuordnungen erstellt haben, müssen Sie sie bereitstellen, um die Aggregation von Daten für die analytischen Streams starten zu können. Sie können eine oder mehrere Zuordnungen mit dem Status „Nicht bereitgestellt“ für die Bereitstellung auswählen.

Hinweis: Wenn Sie Änderungen an einer bereitgestellten Zuordnung vornehmen möchten, z. B. Concentrators hinzufügen oder entfernen oder den Service ändern, müssen Sie die Bereitstellung der vorhandenen Zuordnung aufheben und die Zuordnung löschen und dann eine neue Zuordnung für diesen analytischen Stream erstellen und bereitstellen.

Zuordnungen analytischer Streams in Cloud Gateway

In der folgenden Tabelle werden die aufgeführten Zuordnungen der analytischen Streams in Cloud Gateway beschrieben.

                                       

Symbol/

Feld

Beschreibung

Select iconUm eine einzelne Zuordnung auszuwählen, aktivieren Sie das Kontrollkästchen neben der Zuordnung.
Status

Zeigt den Status der Zuordnung. Es gibt zwei Status:

Nicht bereitgestellt: Bei einer nicht bereitgestellten Zuordnung werden Quellen und ein Cloud Gateway-Service einem analytischen Stream zugeordnet. Das Aggregieren von Daten für den analytischen Stream wird aber erst gestartet, wenn Sie die Zuordnung bereitstellen.

Bereitgestellt – Eine bereitgestellte Zuordnung ist bereitgestellt und wird ausgeführt. In einer bereitgestellten Zuordnung nutzt der ausgewählte Cloud Gateway-Service die abfragebasierte Aggregation, um die geeigneten gefilterten Ereignisse für den ausgewählten analytischen Stream von den Concentrators zu erfassen.

Analytischer StreamGibt den ausgewählten analytischen Stream an. Ein analytischer Stream ist eine Pipeline mit ausgewählten Datenverkehrsaktivitäten, die für die Analyse verwendet wird. Analytische Streams können z. B. HTTP-, FTP-, SMB- oder DNS-Datenverkehr enthalten. Durch die Erstellung und Bereitstellung von Zuordnungen analytischer Streams zwischen Concentrator-Datenquellen und Cloud Gateway-Services werden Datenströme automatisch an die Cloud zur Analysenverarbeitung weitergeleitet.
QuellenQuellen sind die Datenquellen, wie Concentrators, von denen das Cloud Gateway die Daten für den angegebenen analytischen Stream aggregiert.
ServiceGibt den Cloud Gateway-Service an, der die Daten für den angegebenen analytischen Stream verarbeitet. Der ausgewählte Service muss mit einer konsistenten Zeitquelle synchronisiert sein.
Verzögerungszeit (Minuten)

Gibt eine konstante Verzögerungszeit in Minuten an, die hinzugefügt wird, um zu vermeiden, dass Ereignisse, die in Zeiten mit hoher Aktivität von den Datenquellen verarbeitet werden, verloren gehen. Beispielsweise variiert die Concentrator-Performance in Abhängigkeit von Faktoren wie der eingehenden Last, laufenden Abfragen und Indexierung. Aufgrund von diesen Faktoren aggregiert ein Concentrator Ereignisse möglicherweise nicht in Echtzeit, was zu der Verzögerung führt.

Der Verzögerungszeitparameter verschafft dem Concentrator die Möglichkeit, die Aggregation aller Daten abzuschließen.

Die Daten werden um Aktuelle (System-) Zeit – Verzögerungszeit aggregiert. Die Verzögerungszeit ist hilfreich, wenn ein Concentrator bei der Datenaggregation langsam ist. Die Verzögerungszeit stellt sicher, dass Cloud Behavioral Analytics (CBA) keine Daten verarbeitet, die innerhalb des Verzögerungszeitfensters auf dem Concentrator eintreffen. Auf diese Weise ist eine ausreichende Verzögerung gegeben, damit alle Ereignisse, die im Unternehmen erzeugt werden, von CBA verarbeitet werden können.

Wenn beispielsweise für die Verzögerung 30 Minuten und für die aktuelle Zeit 14 Uhr angegeben werden, beginnt der Concentrator um 13:30 Uhr mit dem Abrufen von Datensätzen. Das Verzögerungszeitfenster, in diesem Beispiel 30 Minuten, bleibt im Zeitverlauf konstant. Wenn die aktuelle Zeit auf 14:01 Uhr vorrückt, ruft der Concentrator die nächste Minute von Daten um 13:31 Uhr ab und so weiter.

Wichtig: Die Verzögerungszeit definiert den Puffer zwischen der aktuellen Zeit und der Zeit, zu der der analytische Stream die Daten aufnimmt.

Achtung: RSA empfiehlt, dass Administratoren den Verzögerungszeitparameter basierend auf der Leistung jedes einzelnen Concentrators dynamisch anpassen, um zu vermeiden, während der Aggregation Ereignisse zu verpassen.

Actions icon

Ermöglicht Ihnen die Auswahl zusätzlicher Aktionen für die Zuordnung des ausgewählten analytischen Streams:

  • Stream bearbeiten – Ermöglicht Ihnen die Konfiguration der Verzögerungszeit für die ausgewählte Zuordnung.

  • Bereitstellen – Stellt die ausgewählte Zuordnung bereit. Der angegebene Cloud Gateway-Service beginnt mit dem Abrufen von Daten aus den Datenquellen für diesen analytischen Stream.

  • Bereitstellung aufheben – Hebt die Bereitstellung der ausgewählten Zuordnung auf. Der angegebene Cloud Gateway-Service beendet das Abrufen von Daten aus den Datenquellen für diesen analytischen Stream.

Achtung: Das Aufheben der Bereitstellung einer Zuordnung mit dem Status „Bereitgestellt“ wirkt sich auf die Datenaggregation für diesen analytischen Stream aus.

 

You are here
Table of Contents > Referenzen für das Cloud Gateway > Zuordnungen analytischer Streams in Cloud Gateway

Attachments

    Outcomes