CBA : Mappages des flux analytiques Cloud Gateway

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Dans le panneau Mappages des flux analytiques Cloud Gateway (ADMIN > Système > Cloud Gateway), vous définissez les ressources que RSA NetWitness Suite Cloud Behavioural Analytics (CBA) utilise pour détecter automatiquement les menaces avancées.

Vous pouvez configurer RSA Cloud Gateway pour télécharger automatiquement des flux analytiques à partir d'un ou de plusieurs services Concentrator vers Cloud Behavioral Analytics (CBA). Un flux analytique est un pipeline d'activité de trafic sélectionné utilisé pour le traitement analytique. Par exemple, les flux analytiques peuvent inclure le trafic HTTP, FTP, SMB ou DNS. En créant et déployant des mappages de flux analytiques entre des sources Concentrator et des services Cloud Gateway, les flux de données sont transmis automatiquement au Cloud en vue de leur traitement analytique.

Workflow

Ce workflow montre le processus de création et d'activation d'un mappage des flux analytiques Cloud Gateway pour démarrer automatiquement la détection des menaces avancées.

Cloud Gateway Analytics Stream Mappings workflow

Avant de créer un mappage des flux analytiques Cloud Gateway, assurez-vous que les hôtes et services NetWitness Suite que vous souhaitez utiliser pour vos mappages sont en ligne et disponibles. Tous les services doivent être synchronisés avec une source de temps cohérente. Assurez-vous que les Concentrators collectent les données nécessaires. Les services Cloud Gateway doivent être provisionnés pour activer l'Analytique comportementale Cloud.

Lorsque vous créez un mappage, sélectionnez un flux analytique à mapper, tel que HTTP. Ensuite, sélectionnez les sources de données, telles que les services Concentrator, à utiliser pour ce flux analytique avec un service Cloud Gateway pour traiter les données. Lorsque vous êtes prêt à démarrer l'agrégation des données, déployez le mappage. (À venir) Les analystes peuvent afficher les menaces détectées pour ce flux analytique dans l'interface utilisateur (IU) NetWitness Suite.

Que voulez-vous faire ?

                                           
Rôle Je souhaite...Me montrer comment
Administrateur

Vérifiez que les hôtes et services NetWitness Suite sont en ligne et disponibles.

ADMIN > Hôtes et ADMIN > Services
Consultez le Guide de mise en route des hôtes et des services.

Administrateur

Assurez-vous que les Concentrators collectent les données nécessaires.

Consultez le Guide de configuration de Broker et Concentrator

Administrateur

Provisionner Cloud Gateway.

Provisionner une passerelle Cloud Gateway

AdministrateurCréer des mappages de flux analytiques Cloud Gateway

Mappage des flux analytiques Cloud Gateway

AdministrateurDéployer des mappages de flux analytiques Cloud Gateway

Mappage des flux analytiques Cloud Gateway

Administrateur,
Analyste
Afficher les menaces détectées.

Voir Guide d'utilisation de NetWitness Respond et Guide d'utilisation de NetWitness Investigate.

*Vous pouvez effectuer ces tâches ici (c'est-à-dire dans le panneau Mappages des flux analytiques Cloud Gateway).

Rubriques connexes

Aperçu rapide

L'exemple suivant illustre un mappage des flux analytiques Cloud Gateway. La configuration définit les sources de données du flux analytique sélectionné et le service Cloud Gateway qui traiteront les événements à partir de ces sources de données.

Cloud Gateway Analytics Stream Mappings diagram

                                 
1Affiche le panneau Mappages des flux analytiques Cloud Gateway
2Affiche l'état du mappage.
3Nom du flux analytique mappé.
4Sources de données, telles que les Concentrators, attribuées au mappage.
5Service Cloud Gateway qui traite les données pour le mappage.
6Configuration du temps de latence (en minutes) sur les sources de données pour le mappage.
7Actions pour modifier les paramètres des flux analytiques, déployer les mappages et annuler le déploiement des mappages.

Barre d'outils

Le tableau suivant décrit les actions de la barre d'outils.

                       

Icône /

Bouton

Description

Add.png

Ouvre la boîte de dialogue Créer des mappages dans laquelle vous pouvez créer un mappage. Crée un mappage distinct pour chaque flux analytique.
Après avoir créé et consulté les mappages, vous pouvez les déployer.

Delete icon

Supprime un mappage

  • Vous pouvez supprimer un mappage dont l'état est Non déployé à tout moment. Étant donné qu'un mappage à l'état Non déployé n'est ni déployé, ni en cours d'exécution, il n'affecte pas l'agrégation des données.

  • La suppression d'un mappage déployé efface sa configuration sur le serveur hôte, annule le déploiement de ce mappage et arrête l'extraction des données à partir de la source de données pour ce flux analytique. Vous devez annuler le déploiement d'un mappage dont l'état est Non déployé avant de le supprimer.

Déployer maintenantUne fois que vous avez créé vos mappages, vous devez les déployer afin de lancer l'agrégation des données pour les flux analytiques. Vous pouvez sélectionner un ou plusieurs mappages dont l'état est Non déployé pour les déployer.

Remarque : Si vous souhaitez apporter des modifications à un mappage déployé, par exemple en ajoutant ou en supprimant des Concentrators ou en modifiant le service, vous devez annuler le déploiement et supprimer le mappage existant, puis créer et déployer un nouveau mappage pour ce flux analytique.

Mappages des flux analytiques Cloud Gateway

Le tableau suivant décrit les mappages des flux analytiques Cloud Gateway répertoriés.

                                       

Icône /

Champ

Description

Select iconPour sélectionner un mappage individuel, cochez la case située en regard du mappage.
État

Affiche l'état du mappage. Il existe deux états :

Non déployé - Un mappage non déployé mappe un flux analytique aux sources et un service Cloud Gateway. Il ne démarre pas l'agrégation des données pour le flux analytique tant que le mappage n'est pas déployé.

Déployé - Un mappage déployé est déployé et en cours d'exécution. Dans un mappage déployé, le service Cloud Gateway sélectionné utilise l'agrégation basée sur une requête pour collecter le trafic filtré approprié pour le flux analytique sélectionné à partir des services Concentrator.

Flux analytiqueIndique le flux analytique sélectionné. Un flux analytique est un pipeline d'activité de trafic sélectionné utilisé pour le traitement analytique. Par exemple, les flux analytiques peuvent inclure le trafic HTTP, FTP, SMB ou DNS. En créant et déployant des mappages de flux analytiques entre des sources Concentrator et des services Cloud Gateway, les flux de données sont transmis automatiquement au Cloud en vue de leur traitement analytique.
SourcesLes sources sont les sources de données, telles que Concentrators, à partir desquelles la passerelle Cloud Gateway agrègera les données pour le flux analytique spécifié.
ServiceIndique le service Cloud Gateway qui traitera les données pour le flux analytique spécifié. Le service sélectionné doit être synchronisé avec une source de temps cohérente.
Temps de latence (Minutes)

Spécifie un délai constant, en minutes, qui est ajouté pour éviter de perdre des événements en cours de traitement par les sources de données pendant les périodes d'activité intense. Par exemple, les performances du Concentrator varient en fonction de facteurs tels que la charge entrante, les requêtes en continu et l'indexation. En raison de ces facteurs, un service Concentrator peut ne pas agréger les événements en temps réel, ce qui entraîne un retard.

Le paramètre Temps de latence donne au service Concentrator une chance de terminer l'agrégation de toutes les données.

Regroupe les données dans Heure actuelle (système) - Temps de latence. Cela est utile lorsqu'un service Concentrator tarde à agréger les données. Le temps de latence garantit que le CBA (Cloud Behavioral Analytics) ne traite pas les données qui parviennent au Concentrator pendant la période de latence, et un retard suffisant assure que tous les événements générés dans l'entreprise peuvent être traités par le CBA.

Par exemple, si le temps de latence est de 30 minutes et que l'heure actuelle est 14h00, le Concentrator commencera à extraire les enregistrements à 13h30. La période de latence, 30 minutes dans cet exemple, reste constante. Lorsque l'heure actuelle passe à 14h01, le Concentrator extrait la minute de données suivante à 13h31, et ainsi de suite.

Important : Le temps de latence définit le décalage entre l'heure actuelle et l'heure à laquelle le flux analytique réceptionne les données.

Attention : RSA recommande aux administrateurs d'ajuster le paramètre Temps de latence dynamiquement en fonction des performances de chaque Concentrator pour éviter de manquer des événements lors de l'agrégation.

Actions icon

Vous permet de sélectionner des actions supplémentaires pour le mappage des flux analytiques sélectionné :

  • Modifier le flux - Permet de configurer le temps de latence pour le mappage sélectionné.

  • Déployer - Déploie le mappage sélectionné. Le service Cloud Gateway spécifié commence à extraire des données des sources de données pour ce flux analytique.

  • Annuler le déploiement - Annule le déploiement du mappage sélectionné. Le service Cloud Gateway spécifié arrête d'extraire des données des sources de données pour ce flux analytique.

Attention : L'annulation du déploiement d'un mappage dont l'état est Déployé a une incidence sur l'agrégation des données de ce flux analytique.

 

You are here
Table of Contents > Références à Cloud Gateway > Mappages des flux analytiques Cloud Gateway

Attachments

    Outcomes