CBA: Zuordnen analytischer Streams für das Cloud Gateway

Document created by RSA Information Design and Development on Oct 18, 2018
Version 1Show Document
  • View in full screen mode
 

Das RSA Cloud Gateway kann so konfiguriert werden, dass analytische Streams automatisch von einem oder mehreren Concentrators zu Cloud Behavioral Analytics (CBA) hochgeladen werden. Ein analytischer Stream ist eine Pipeline mit ausgewählten Datenverkehrsaktivitäten, die für die Analyse verwendet wird. Analytische Streams können z. B. HTTP-, FTP-, SMB- oder DNS-Datenverkehr enthalten. Durch die Erstellung und Bereitstellung von Zuordnungen analytischer Streams zwischen Concentrator-Datenquellen und Cloud Gateway-Services werden Datenströme automatisch an die Cloud zur Analysenverarbeitung weitergeleitet.

Bei der Bereitstellung einer Zuordnung nutzt der ausgewählte Cloud Gateway-Service die abfragebasierte Aggregation, um geeignete gefilterte Ereignisse für den ausgewählten analytischen Stream von den Concentrators zu erfassen. Die abfragebasierte Aggregation ist eine vordefinierte Abfrage, die nur für den ausgewählten analytischen Stream Daten überträgt. Nur die für den analytischen Stream erforderlichen Daten werden vom Concentrator in Cloud Behavioral Analytics übertragen.

Überlegungen

Bei der Erstellung und Bereitstellung von Zuordnungen analytischer Streams müssen Sie die folgenden wichtigen Aspekte beachten:

  1. Jeder bereitgestellte analytische Stream belastet die Internetausgangspunkte im Netzwerk zusätzlich.
  2. Jeder analytische Stream, den Sie hinzufügen, wirkt sich auf die Concentrators aus.

  3. Stellen Sie sicher, dass Sie die analytischen Streams Concentrators zuzuordnen, die aktiv diese Art von Informationen erfassen. Analytische Streams für HTTP sollten z. B. nur für Concentrators aktiviert werden, die die HTTP-Aktivität erfassen.

Bereitstellungsbeispiel für analytische Streams – zwei Gateways

Um die zusätzliche Concentrator-Kapazität zu nutzen, können Sie einen analytischen Stream einem Cloud Gateway-Service zuordnen und die Zuordnung zur gleichzeitigen Analyse von Daten verschiedener Datenquellen bereitstellen.

Wenn Sie z. B. über drei Concentrators und zwei Cloud Gateway-Services verfügen, können Sie die folgenden Zuordnungen erstellen und bereitstellen:

  • Ordnen Sie den analytischen Stream 1 den Quellen des Concentrator 1 und 2 und dem Cloud Gateway-Server 1-Service zu. Cloud Gateway-Server 1 sendet gefilterten Datenverkehr vom analytischen Stream 1 der Concentrators 1 und 2 an CBA in der Cloud.
  • Ordnen Sie den analytischen Stream 2 den Quellen des Concentrator 2 und 3 und dem Cloud Gateway-Server 2-Service zu. Cloud Gateway-Server 2 sendet gefilterten Datenverkehr vom analytischen Stream 2 der Concentrators 2 und 3 an CBA in der Cloud.

In diesem Beispiel steht der analytische Stream 1 für einen analytischen Stream wie HTTP und der analytische Stream 2 für einen anderen analytischen Stream wie FTP an einem anderen Ort. Concentrator 1 erfasst HTTP-Aktivitäten, Concentrator 2 erfasst HTTP- und FTP-Aktivitäten und Concentrator 3 erfasst FTP-Aktivitäten.

Module Deployment Example - 2 Gateways

Dieses Beispiel zeigt, wie beide Services Daten aus dem gleichen Concentrator verarbeiten können. Beachten Sie, dass die Cloud Gateway-Services 1 und 2 Daten von Concentrator 2 verarbeiten können. Cloud Gateway-Server 1 fragt Daten vom HTTP-Datenverkehr des analytischen Streams 1 ab und der Cloud Gateway-Server 2 fragt andere Daten vom FTP-Datenverkehr des analytischen Streams 2 ab.

Bereitstellungsbeispiel für analytische Streams – ein Gateway

Zusätzlich zur Erstellung von Zuordnungen analytischer Streams, die von verschiedenen Cloud Gateway-Services verarbeitet werden, können Sie ein und demselben Cloud Gateway-Service mehrere analytische Streams zuordnen.

Wenn Sie z. B. über drei Concentrators und einen Cloud Gateway-Service verfügen, können Sie die folgenden Zuordnungen erstellen und bereitstellen:

  • Ordnen Sie den analytischen Stream 1 den Quellen des Concentrator 1 und 2 und dem Cloud Gateway-Server 1-Service zu. Cloud Gateway-Server 1 sendet gefilterten Datenverkehr vom analytischen Stream 1 der Concentrators 1 und 2 an CBA in der Cloud.
  • Ordnen Sie den analytischen Stream 2 den Quellen des Concentrator 2 und 3 und dem Cloud Gateway-Server 1-Service zu. Cloud Gateway-Server 1 sendet ebenfalls gefilterten Datenverkehr vom analytischen Stream 2 der Concentrators 2 und 3 an CBA in der Cloud.

In diesem Beispiel steht der analytische Stream 1 für einen analytischen Stream wie HTTP und der analytische Stream 2 für einen anderen analytischen Stream wie FTP an einem anderen Ort. Concentrator 1 erfasst HTTP-Aktivitäten, Concentrator 2 erfasst HTTP- und FTP-Aktivitäten und Concentrator 3 erfasst FTP-Aktivitäten.

Module Deployment Example - One Gateway

Dieses Beispiel zeigt, wie ein Service Daten von mehr als einem analytischen Stream verarbeiten kann. Beachten Sie, dass der Cloud Gateway-Server 1 Daten vom Concentrator 1 und 2 für den analytischen Stream 1 verarbeiten kann. Er verarbeitet außerdem die Daten von Concentrator 2 und 3 für den analytischen Stream 2. Cloud Gateway-Server 1 fragt Daten vom HTTP-Datenverkehr des analytischen Streams 1 ab und fragt andere Daten vom FTP-Datenverkehr des analytischen Streams 2 ab und sendet diese Daten zur Analyse an CBA in der Cloud.

Achtung: Stellen Sie sicher, dass alle NetWitness Suite-Hostservices mit einer konsistenten Zeitquelle synchronisiert werden.

Voraussetzungen

  • Alle NetWitness Suite-Hostservices müssen mit einer konsistenten Zeitquelle synchronisiert werden.
  • Concentrator-Hosts und -Services müssen erkannt werden und in der NetWitness Suite-Benutzeroberfläche verfügbar sein.
  • Der Cloud Gateway-Server-Service muss bereitgestellt sein. Siehe Bereitstellen eines Cloud Gateway.

Erstellen von Zuordnungen analytischer Streams in Cloud Gateway

Das folgende Verfahren dient zur Zuordnung von analytischen Streams zu Quellen und Services. Nach dem Erstellen und Überprüfen der Zuordnungen stellen Sie diese bereit, damit sie mit der Aggregation von Daten beginnen können.

  1. Navigieren Sie zu ADMIN > System und wählen Sie im Bereich „Optionen“ die Option Cloud Gateway aus.
    Der Bereich „Zuordnungen analytischer Streams in Cloud Gateway“ wird angezeigt.
    Cloud Gateway Analytic Stream Mappings panel
  2. Klicken Sie auf , um eine Zuordnung eines analytischen Streams zu erstellen. Erstellen Sie eine separate Zuordnung für jeden analytischen Stream.
    Das Dialogfeld Erstellen von Zuordnungen analytischer Streams wird angezeigt.
    Create Analyti Stream Mappings dialog
  3. Wählen Sie in der Liste Analytischer Stream einen analytischen Stream aus.
  4. Konfigurieren Sie eine oder mehrere Datenquellen (Concentrators) für Ihre Zuordnungen. Gehen Sie für jeden Concentrator wie folgt vor:
    1. Klicken Sie auf Add icon.
      Das Dialogfeld „Verfügbare Services“ zeigt die Datenquellen an, die in der Ansicht „Admin“ > „Services“ zur Verfügung stehen.
      Available Services dialog showing available data sources
    2. Wählen Sie im Dialogfeld Verfügbare Services einen Concentrator aus und klicken Sie auf OK.
      Das Dialogfeld „Service hinzufügen“ wird angezeigt.
      Add Service dialog - empty
    3. Im Dialogfeld Service hinzufügen geben Sie den Administrator-Benutzernamen und das Administrator-Passwort für den Concentrator ein.
    4. Klicken Sie auf Verbindung testen, um sicherzustellen, dass er mit dem Cloud Gateway-Service kommunizieren kann.
      Add Service dialog - Test Connection successful
    5. Klicken Sie auf OK.
      Nachdem Sie die Datenquellen konfiguriert haben und diese in der Liste „Quellen“ angezeigt werden, können Sie sie für weitere Zuordnungen wiederverwenden.
  5. Wählen Sie in der Liste Quellen eine oder mehrere Datenquellen zum Aggregieren von Daten für den analytischen Stream aus.
    Create Analytic Stream Mappings dialog showing a mapping
    Ein vollfarbiger grüner Kreis zeigt an, dass ein Service ausgeführt wird, und ein weißer Kreis zeigt einen gestoppten Service an.
  6. Wählen Sie einen Cloud Gateway-Service in der Liste Service aus, um die Daten des analytischen Streams zu verarbeiten.
  7. Geben Sie falls nötig die Verzögerungszeit an, die zur Abfrage von Daten aus den ausgewählten Concentrators verwendet werden soll.
    Verzögerungszeit (Minuten) gibt eine konstante Verzögerungszeit in Minuten an, die hinzugefügt wird, um zu vermeiden, dass Ereignisse, die in Zeiten mit hoher Aktivität von den Datenquellen verarbeitet werden, verloren gehen. Beispielsweise variiert die Concentrator-Performance in Abhängigkeit von Faktoren wie der eingehenden Last, laufenden Abfragen und Indexierung. Aufgrund von diesen Faktoren aggregiert ein Concentrator Ereignisse möglicherweise nicht in Echtzeit, was zu der Verzögerung führt.
    Der Verzögerungszeitparameter verschafft dem Concentrator die Möglichkeit, die Aggregation aller Daten abzuschließen.
    Die Daten werden um Aktuelle (System-) Zeit – Verzögerungszeit aggregiert. Die Verzögerungszeit ist hilfreich, wenn ein Concentrator bei der Datenaggregation langsam ist. Die Verzögerungszeit stellt sicher, dass Cloud Behavioral Analytics (CBA) keine Daten verarbeitet, die innerhalb des Verzögerungszeitfensters auf dem Concentrator eintreffen. Auf diese Weise ist eine ausreichende Verzögerung gegeben, damit alle Ereignisse, die im Unternehmen erzeugt werden, von CBA verarbeitet werden können.
    Wenn beispielsweise für die Verzögerung 30 Minuten und für die aktuelle Zeit 14 Uhr angegeben werden, beginnt der Concentrator um 13:30 Uhr mit dem Abrufen von Datensätzen. Das Verzögerungszeitfenster, in diesem Beispiel 30 Minuten, bleibt im Zeitverlauf konstant. Wenn die aktuelle Zeit auf 14:01 Uhr vorrückt, ruft der Concentrator die nächste Minute von Daten um 13:31 Uhr ab und so weiter.
    Wichtig: Die Verzögerungszeit definiert den Puffer zwischen der aktuellen Zeit und der Zeit, zu der der analytische Stream die Daten aufnimmt.
  8. Achtung: RSA empfiehlt, dass Administratoren den Verzögerungszeitparameter basierend auf der Leistung jedes einzelnen Concentrators dynamisch anpassen, um zu vermeiden, während der Aggregation Ereignisse zu verpassen.

  9. Klicken Sie auf Erstellen.
    Die Zuordnungen, die Sie erstellen, werden in der Liste der vorhandenen Zuordnungen mit dem Status Nicht bereitgestellt angezeigt.
    CBA Gateway Mappings panel - Undeployed mapping
    Wichtig: Um einen analytischen Stream so zu starten, dass er mit der Aggregation von Daten beginnt, müssen Sie ihn bereitstellen.

Bereitstellen von Zuordnungen analytischer Streams in Cloud Gateway

Nachdem Sie Ihre Zuordnungen erstellt haben, müssen Sie sie bereitstellen, um die Aggregation von Daten für die analytischen Streams starten zu können.

  1. Überprüfen Sie in der Liste der Zuordnungen, ob der Status der Zuordnungen, die Sie bereitstellen möchten, Nicht bereitgestellt lautet.
  2. Wählen Sie eine oder mehrere Zuordnungen mit dem Status „Nicht bereitgestellt“ aus und klicken Sie auf Jetzt bereitstellen.
    Alle ausgewählten Zuordnungen mit dem Status „Nicht bereitgestellt“ beginnen mit dem Aggregieren von Daten, wie in der Zuordnung konfiguriert. Der Zuordnungsstatus ändert sich zu Bereitgestellt.
    Sie können keine Zuordnung bereitstellen, die bereits bereitgestellt wurde.

Aktualisieren einer Zuordnung

Es kann nur eine Zuordnung pro analytischer Stream vorhanden sein. Wenn Sie Änderungen an einer bereitgestellten Zuordnung vornehmen möchten, z. B. Concentrators hinzufügen oder entfernen oder den Service ändern, müssen Sie die Bereitstellung der vorhandenen Zuordnung aufheben und die Zuordnung löschen und dann eine neue Zuordnung für diesen analytischen Stream erstellen und bereitstellen.

Sie können die folgenden Aktualisierungen an einer bereitgestellten Zuordnung vornehmen, ohne sie zu löschen:

  • Aufheben der Bereitstellung einer Zuordnung
  • Ändern der Verzögerungszeit

Sie können auch die Verzögerungszeit für eine nicht bereitgestellte Zuordnung eines analytischen Streams ändern.

Aufheben der Bereitstellung einer Zuordnung

Wenn Sie das Aggregieren von Daten für die Zuordnung eines analytischen Streams beenden möchten, die Zuordnung aber nicht löschen möchten, können Sie die Bereitstellung aufheben. Dies bietet Ihnen die Möglichkeit, sie zu einem späteren Zeitpunkt bereitzustellen. Wenn Sie die Bereitstellung einer Zuordnung aufheben, stoppt der angegebene Cloud Gateway-Service das Abrufen von Daten aus der Datenquelle für diesen analytischen Stream.

Achtung: Das Aufheben der Bereitstellung einer Zuordnung mit dem Status „Bereitgestellt“ wirkt sich auf die Datenaggregation für diesen analytischen Stream aus.

So heben Sie die Bereitstellung einer Zuordnung auf:

  1. Wählen Sie im Bereich „Zuordnungen analytischer Streams in Cloud Gateway“ die Zuordnung aus, deren Bereitstellung Sie aufheben möchten.
  2. Wählen Sie in der Spalte Aktionen die Option Actions icon > Bereitstellung aufheben aus.
    Der Status ändert sich von „Bereitgestellt“ zu „Nicht bereitgestellt“ und die Datenaggregation wird beendet.

Löschen einer Zuordnung

Sie können eine Zuordnung mit dem Status „Nicht bereitgestellt“ zu einem beliebigen Zeitpunkt löschen. Da eine Zuordnung mit dem Status „Nicht bereitgestellt“ nicht ausgeführt wird, ergeben sich keine Auswirkungen auf die Datenaggregation.

Sie müssen die Bereitstellung einer Zuordnung mit dem Status „Bereitgestellt“ aufheben, bevor Sie sie löschen. Durch das Aufheben der Bereitstellung und das Löschen einer Zuordnung wird die Konfiguration auf dem Cloud Gateway-Server gelöscht, die Bereitstellung für diese Zuordnung zurückgesetzt und das Abrufen von Daten aus der Datenquelle für diesen analytischen Stream gestoppt.

Achtung: Das Aufheben der Bereitstellung und das Löschen einer Zuordnung wirkt sich auf die Datenaggregation für diesen analytischen Stream aus.

So löschen Sie eine Zuordnung:

  1. Wählen Sie im Bereich „Zuordnungen analytischer Streams in Cloud Gateway“ die Zuordnung aus, die Sie löschen möchten. Sie können jeweils immer nur eine Zuordnung löschen.
  2. Klicken Sie auf Delete icon.

Ändern der Verzögerungszeit

Falls erforderlich, können Sie die Verzögerungszeit für den analytischen Stream ändern. Die Verzögerungszeit definiert den Puffer zwischen der aktuellen (System-) Zeit und der Zeit, zu der der analytische Stream die Daten aufnimmt.

  1. Wählen Sie im Bereich „Zuordnungen analytischer Streams in Cloud Gateway“ die Zuordnung, die Sie ändern möchten, und wählen Sie in der Spalte Aktionen Actions icon > Stream bearbeiten.
    Das Dialogfeld „Einstellungen für analytische Streams“ zeigt den ausgewählten analytischen Stream, den Cloud Gateway-Service und die Datenquellen für die Zuordnung an. Die Datenquellen zeigen die für die Kommunikation mit dem Cloud Gateway-Service verwendeten URLs an.
    Analytic Stream Settings dialog
  2. Falls erforderlich, ändern Sie die Verzögerungszeit (Minuten), um den Concentrators in der Zuordnung zusätzliche Zeit zum Fertigstellen der Aggregation aller Daten zu bieten.
  3. Klicken Sie auf Speichern.
    Die Änderungen treten nicht sofort in Kraft. Damit die Einstellungen wirksam werden, müssen Sie die Bereitstellung aufheben und die Zuordnung erneut bereitstellen.
  4. Um die Bereitstellung einer Zuordnung aufzuheben, wählen Sie im Bereich „Zuordnungen analytischer Streams in Cloud Gateway“ die entsprechende Zuordnung aus und klicken Sie dann auf Actions icon > Bereitstellung aufheben.
    Die Datenaggregation wird für die ausgewählte Zuordnung beendet.
  5. Wenn Sie die Zuordnung erneut bereitstellen möchten, wählen Sie sie aus und klicken Sie auf Actions icon > Bereitstellen.
    Die ausgewählte Zuordnung wird bereitgestellt und beginnt mit dem Aggregieren von Daten, wie in der Zuordnung konfiguriert.

Überwachen des Cloud Gateway

Sie können die RSA-Cloud Gateway-Service-Statistik in NetWitness Suite überwachen.

Wählen Sie in der Ansicht „Services“ den Cloud Gateway-Server-Service und anschließend actions icon > Ansicht > Durchsuchen aus. In der Ansicht „Durchsuchen“ sehen Sie wichtige Statistiken, die Sie für das Cloud Gateway überwachen sollten. Sie können die Zuordnungen der analytischen Streams nach Bedarf entsprechend anpassen.

Die folgende Abbildung zeigt zwei wichtige Statistiken, die Sie für jeden Stream betrachten sollten:

  • upload-bytes-meter: Diese Statistik zeigt die durchschnittlich pro Sekunde hochgeladenen Byte. Dies ist die Uploadgeschwindigkeit (in Byte).
  • events-seen-meter: Diese Statistik zeigt die Anzahl der Ereignisse, die pro Sekunde vom Concentrator erfasst werden. Dies ist die Leserate (Zahl).

Der erste Teil des Statistiknamens enthält den Namen des analytischen Streams, in diesem Beispiel ist dies C2:

C2/pipe/compressed/upload-bytes-meter

Cloud Gateway Server service Config Explore view - Top - showing the stream name "C2", upload-bytes-meter, and events-seen-meter

Wenn Sie nach unten scrollen, sehen Sie den Rest der Statistiken. Wenn Sie mehr als einen analytischen Stream haben, sehen Sie auch die Statistiken für diese Streams. In diesem Beispiel sehen Sie Statistiken für die analytischen Streams C2 und C2Packets.

Cloud Gateway Server service Config Explore view - Bottom

Hinweis:
– Jeder bereitgestellte analytische Stream belastet die Internetausgangspunkte im Netzwerk zusätzlich. Sehen Sie sich die Uploadstatistiken, wie z. B. upload-bytes-meter, an.
– Jeder analytische Stream, den Sie hinzufügen, wirkt sich auf die Concentrators aus. Sehen Sie sich die Statistik events-seen-meter an und lesen Sie das Thema „Überwachen von Servicedetails“ im Leitfaden Systemwartung.
– Stellen Sie sicher, dass Sie analytischen Streams Concentrators zuzuordnen, die aktiv diese Art von Informationen erfassen. Analytische Streams für HTTP sollten z. B. nur für Concentrators aktiviert werden, die die HTTP-Aktivität erfassen.

You are here
Table of Contents > Zuordnen analytischer Streams für das Cloud Gateway

Attachments

    Outcomes