Endpunkt: Übersicht

Document created by RSA Information Design and Development on Oct 18, 2018
Version 1Show Document
  • View in full screen mode
 

Hinweis: Die Informationen in diesem Leitfaden gelten für Version 11.1 und höher.

RSA NetWitness Endpoint sammelt Endpunktdaten von Windows-, Mac- oder Linux-Hosts, die für Untersuchungen, Berichte, Warnmeldungen und die Durchführung von Analysen verwendet werden können. Analysten können zu jedem beliebigen Point-in-Time sofortige Scans durchführen, um detaillierte Einblicke in das Hostverhalten zu erhalten. Darüber hinaus kann Endpoint Protokolle von Windows-Hosts erfassen. NetWitness Endpoint Insights führt mit Endpoint Hybrid und Endpoint Log Hybrid zwei neue Hosttypen ein. Sie können in Ihrer Bereitstellung nur eine Instanz des Hosttyps installieren. Das heißt, Sie können entweder eine Instanz von Endpoint Hybrid oder eine Instanz von Endpoint Log Hybrid bereitstellen. Nach der Bereitstellung können Sie den Typ nicht mehr ändern.

Endpoint Hybrid erfasst und managt Endpunktdaten (Hostdaten). Dieser Hosttyp erzeugt Metadaten für Untersuchungen, Analysen, Warnmeldungen und Berichte. Konfiguration und Management ähneln denen eines Log Decoders oder Packet Decoders. Auf dem Endpoint Hybrid-Host wird ein Nginx-Server ausgeführt (im Reverse-Proxy-Modus), der Daten von Endpoint Agent empfängt. Auf dem Endpoint Hybrid-Host werden folgende Services ausgeführt:

  • Endpoint-Server: Managt über Nginx empfangene Daten, speichert sie in der Mongo-Datenbank und sendet Metadaten an den Log Decoder.
  • Log Decoder: Erfasst Daten vom Endpoint-Server und verarbeitet die Metadaten.
  • Concentrator: Aggregiert Metadaten vom Log Decoder und stellt sie für alle Upstream-Komponenten wie Investigate, Reporting Engine und Event Stream Analysis zur Verfügung, ähnliche wie bei anderen NetWitness Decoder- und Concentrator-Einrichtungen.

Endpoint Log Hybrid erfasst sowohl Endpunkt- als auch Protokolldaten. Zusätzlich zu den auf dem Endpoint Hybrid-Host ausgeführten Services wird auf dem Endpoint Log Hybrid-Host ein Log Collector-Service ausgeführt. Er erfasst Protokolle von Windows-Hosts sowie von allen weiteren Ereignisquellen, die zur Protokollerfassung in der NetWitness Suite unterstützt werden.

Der Leitfaden für die ersten Schritte mit Hosts und Services enthält die nötigen Informationen, um die Services der NetWitness Suite zu verstehen und sie installieren zu können.

Die Basiskonfiguration umfasst Folgendes:

  • Installieren von Agents auf Hosts
  • Konfigurieren der Weiterleitung von Endpunktmetadaten, der Scanplanung und von Aufbewahrungs-Policies
  • Definieren von Integritäts- und Zustands-Policies zur Überwachung des Endpoint-Servers

Sie können die erforderlichen Einstellungen über die Optionen der NetWitness Suite-Benutzeroberfläche unter Administration > Services > Konfiguration vornehmen.

Endpoint Configuration

You are here
Table of Contents > NetWitness Endpoint Insights Overview

Attachments

    Outcomes