CBA : Mappage des flux analytiques Cloud Gateway

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Vous pouvez configurer RSA Cloud Gateway pour télécharger automatiquement des flux analytiques à partir d'un ou de plusieurs services Concentrator vers Cloud Behavioral Analytics (CBA). Un flux analytique est un pipeline d'activité de trafic sélectionné utilisé pour le traitement analytique. Par exemple, les flux analytiques peuvent inclure le trafic HTTP, FTP, SMB ou DNS. En créant et déployant des mappages de flux analytiques entre des sources Concentrator et des services Cloud Gateway, les flux de données sont transmis automatiquement au Cloud en vue de leur traitement analytique.

Lorsque vous déployez votre mappage, le service Cloud Gateway sélectionné utilise l'agrégation basée sur une requête pour collecter les événements filtrés appropriés pour le flux analytique sélectionné à partir des services Concentrator. L'agrégation basée sur une requête est une requête prédéfinie qui transfère uniquement les données pour le flux analytique sélectionné. Seules les données requises par le flux analytique sont transférées du service Concentrator vers Cloud Behavioral Analytics.

Points à prendre en compte

Lorsque vous créez et déployez vos mappages de flux analytiques, prenez bien en compte les points suivants :

  1. Chaque flux analytique déployé place une charge supplémentaire sur les points de sortie Internet du réseau.
  2. Chaque flux analytiques que vous ajoutez a un impact sur les services Concentrator.

  3. Veillez à mapper les flux analytiques aux services Concentrator qui recueillent activement ce type d'informations. Par exemple, les flux analytiques HTTP doivent uniquement être activés sur les services Concentrator qui collectent l'activité HTTP.

Exemple de déploiement de flux analytiques - Deux passerelles

Pour tirer parti de votre capacité de service Concentrator supplémentaire, vous pouvez mapper un flux analytique à un service Cloud Gateway et le déployer pour analyser les données de plusieurs sources de données en même temps.

Par exemple, si vous avez trois services Concentrator et deux services Cloud Gateway, vous pouvez créer et déployer les mappages suivants :

  • Mappez le trafic du flux analytique 1 aux sources 1 et 2 du Concentrator et service Serveur Cloud Gateway 1. Le service Serveur Cloud Gateway 1 envoie le trafic filtré du flux analytique 1 des services Concentrator 1 et 2 à CBA dans le Cloud.
  • Mappez le trafic du flux analytique 2 aux sources 2 et 3 du Concentrator et service Serveur Cloud Gateway 2. Le service Serveur Cloud Gateway 2 envoie le trafic filtré du flux analytique 2 des services Concentrator 2 et 3 à CBA dans le Cloud.

Dans cet exemple, le flux analytique 1 représente un flux analytique, tel que HTTP, et le flux analytique représente un autre flux analytique, tel que FTP à un autre emplacement. Le service Concentrator 1 collecte l'activité HTTP, le service Concentrator 2 collecte l'activité HTTP et FTP, et le service Concentrator 3 collecte l'activité FTP.

Module Deployment Example - 2 Gateways

Cet exemple montre comment les deux services peuvent traiter les données issues du même Concentrator. Notez que les services Cloud Gateway peuvent tous deux traiter les données issues du service Concentrator 2. Le service Serveur Cloud Gateway 1 interroge les données pour le trafic HTTP du flux analytique 1 et le service Serveur Cloud Gateway 2 interroge différentes données pour le trafic FTP du flux analytique 2.

Exemple de déploiement de flux analytiques - Une passerelle

En plus de créer des mappages de flux analytiques traités par différents services Cloud Gateway, vous pouvez mapper plusieurs flux analytiques sur le même service Cloud Gateway.

Par exemple, si vous avez trois services Concentrator et un service Cloud Gateway, vous pouvez créer et déployer les mappages suivants :

  • Mappez le trafic du flux analytique 1 aux sources 1 et 2 du Concentrator et service Serveur Cloud Gateway 1. Le service Serveur Cloud Gateway 1 envoie le trafic filtré du flux analytique 1 des services Concentrator 1 et 2 à CBA dans le Cloud.
  • Mappez le trafic du flux analytique 2 aux sources 2 et 3 du Concentrator et service Serveur Cloud Gateway 1. Le service Serveur Cloud Gateway 1 envoie également le trafic filtré du flux analytique 2 des services Concentrator 2 et 3 à CBA dans le Cloud.

Dans cet exemple, le flux analytique 1 représente un flux analytique, tel que HTTP, et le flux analytique représente un autre flux analytique, tel que FTP à un autre emplacement. Le service Concentrator 1 collecte l'activité HTTP, le service Concentrator 2 collecte l'activité HTTP et FTP, et le service Concentrator 3 collecte l'activité FTP.

Module Deployment Example - One Gateway

Cet exemple montre comment un seul service peut traiter les données provenant de plusieurs flux analytiques. Notez que le serveur Passerelle Cloud 1 peut traiter les données issues des Concentrators 1 et 2 pour le flux analytique 1. Il traite également les données issues des Concentrators 2 et 3 pour le flux analytique 2. Le service Serveur Cloud Gateway 1 interroge les données pour le trafic HTTP du flux analytique 1 et interroge les données du trafic FTP du flux analytique 2. Il envoie ensuite ces données à CBA dans le Cloud pour le traitement analytique.

Attention : Assurez-vous que tous les services d'hôte NetWitness Suite sont synchronisés avec une source de temps cohérente.

Conditions préalables

  • Tous les services d'hôte NetWitness Suite doivent être synchronisés avec une source de temps cohérente.
  • Les hôtes et services Concentrator doivent être découverts et disponibles dans l'interface utilisateur NetWitness Suite.
  • Le service Serveur Cloud Gateway doit être provisionné. Voir Provisionner une passerelle Cloud Gateway.

Créer des mappages de flux analytiques Cloud Gateway

La procédure suivante vous indique comment mapper des flux analytiques aux sources et aux services. Après avoir créé et revu les mappages, déployez-les pour qu'ils puissent démarrer l'agrégation des données.

  1. Accédez à ADMIN > Système, puis dans le panneau des options, sélectionnez Cloud Gateway.
    Le panneau Mappages des flux analytiques Cloud Gateway s'affiche.
    Cloud Gateway Analytic Stream Mappings panel
  2. Cliquez sur pour créer un mappage de flux analytique. Crée un mappage distinct pour chaque flux analytique.
    La boîte de dialogue Créer des mappages de flux analytiques s'affiche.
    Create Analyti Stream Mappings dialog
  3. Dans la liste Flux analytique, sélectionnez un flux analytique.
  4. Configurez une ou plusieurs sources de données (Concentrators) pour vos mappages. Procédez de la façon suivante pour chaque Concentrator :
    1. Cliquez sur Add icon .
      La boîte de dialogue Services disponibles affiche les sources de données qui sont disponibles dans la vue ADMIN > Services.
      Available Services dialog showing available data sources
    2. Dans la boîte de dialogue Services disponibles, sélectionnez un Concentrator et cliquez sur OK.
      La boîte de dialogue Ajouter un service s'affiche.
      Add Service dialog - empty
    3. Dans la boîte de dialogue Ajouter un service, saisissez le nom d'utilisateur administrateur pour le Concentrator.
    4. Cliquez sur Tester la connexion pour vous assurer qu'il peut communiquer avec le service Cloud Gateway.
      Add Service dialog - Test Connection successful
    5. Cliquez sur OK
      .Lorsque vous avez configuré vos sources de données et qu'elles apparaissent dans la liste Sources, vous pouvez les réutiliser pour d'autres mappages.
  5. Dans la liste Sources, sélectionnez une ou plusieurs sources de données pour agréger les données pour le flux analytique.
    Create Analytic Stream Mappings dialog showing a mapping
    Un cercle vert plein indique un service en cours d'exécution et un cercle blanc indique un service arrêté.
  6. Dans la liste Service, sélectionnez un service Cloud Gateway pour traiter les données du flux analytique.
  7. Si nécessaire, spécifiez l'heure qui sera utilisée pour interroger les données des services Concentrator sélectionnés.
    Temps de latence (Minutes) spécifie un délai constant, en minutes, qui est ajouté pour éviter de perdre des événements en cours de traitement par les sources de données pendant les périodes d'activité intense. Par exemple, les performances du Concentrator varient en fonction de facteurs tels que la charge entrante, les requêtes en continu et l'indexation. En raison de ces facteurs, un service Concentrator peut ne pas agréger les événements en temps réel, ce qui entraîne un retard.
    Le paramètre Temps de latence donne au service Concentrator une chance de terminer l'agrégation de toutes les données.
    Regroupe les données dans Heure actuelle (système) - Temps de latence. Cela est utile lorsqu'un service Concentrator tarde à agréger les données. Le temps de latence garantit que le CBA (Cloud Behavioral Analytics) ne traite pas les données qui parviennent au Concentrator pendant la période de latence, et un retard suffisant assure que tous les événements générés dans l'entreprise peuvent être traités par le CBA.
    Par exemple, si le temps de latence est de 30 minutes et que l'heure actuelle est 14h00, le Concentrator commencera à extraire les enregistrements à 13h30. La période de latence, 30 minutes dans cet exemple, reste constante. Lorsque l'heure actuelle passe à 14h01, le Concentrator extrait la minute de données suivante à 13h31, et ainsi de suite.
    Important : Le temps de latence définit le décalage entre l'heure actuelle et l'heure à laquelle le flux analytique réceptionne les données.
  8. Attention : RSA recommande aux administrateurs d'ajuster le paramètre Temps de latence dynamiquement en fonction des performances de chaque Concentrator pour éviter de manquer des événements lors de l'agrégation.

  9. Cliquez sur Créer.
    Les mappages que vous créez s'affichent dans la liste des mappages existants avec l'état Non déployé.
    CBA Gateway Mappings panel - Undeployed mapping
    Important : Pour démarrer un flux analytique pour qu'il lance l'agrégation des données, vous devez le déployer.

Déployer des mappages de flux analytiques Cloud Gateway

Une fois que vous avez créé vos mappages, vous devez les déployer afin de lancer l'agrégation des données pour les flux analytiques.

  1. Dans la liste des mappages, vérifiez que l'état des mappages que vous souhaitez déployer est Non déployé.
  2. Sélectionnez un ou plusieurs mappages à l'état Non déployé et sélectionnez Déployer maintenant.
    Tous les mappages sélectionnés à l'état Non déployé commencent à agréger les données de la façon configurée dans le mappage. L'état du mappage passe à Déployé.
    Vous ne pouvez pas déployer un mappage qui a déjà été déployé.

Mettre à jour un mappage

Vous ne pouvez avoir qu'un mappage par flux analytique. Si vous souhaitez apporter des modifications à un mappage déployé, par exemple en ajoutant ou en supprimant des Concentrators ou en modifiant le service, vous devez annuler le déploiement et supprimer le mappage existant, puis créer et déployer un nouveau mappage pour ce flux analytique.

Vous pouvez apporter les mises à jour suivantes à un mappage déployé sans le supprimer :

  • Annuler le déploiement d'un mappage
  • Modifier le temps de latence.

Vous pouvez également modifier le temps de latence pour un mappage de flux analytique non déployé.

Annuler le déploiement d'un mappage

Si vous souhaitez arrêter l'agrégation des données pour un mappage de flux analytique, mais que vous ne souhaitez pas supprimer le mappage, vous pouvez en annuler le déploiement. Vous pouvez alors le déployer ultérieurement. Lorsque vous annulez le déploiement d'un mappage, le service Cloud Gateway arrête d'extraire les données de la source de données de ce flux analytique.

Attention : L'annulation du déploiement d'un mappage dont l'état est Déployé a une incidence sur l'agrégation des données de ce flux analytique.

Pour annuler le déploiement d'un mappage

  1. Dans le panneau Mappages des flux analytiques Cloud Gateway, sélectionnez le mappage déployé dont vous souhaitez annuler le déploiement.
  2. Dans la colonne Actions, sélectionnez Actions icon > Annuler le déploiement.
    L'état passe de Déployé à Non déployé et l'agrégation des données s'arrête.

Supprimer un mappage

Vous pouvez supprimer un mappage dont l'état est Non déployé à tout moment. Étant donné qu'un mappage à l'état Non déployé n'est pas en cours d'exécution, il n'affecte pas l'agrégation des données.

Vous devez annuler le déploiement d'un mappage dont l'état est Non déployé avant de le supprimer. L'annulation du déploiement d'un mappage et la suppression de ce mappage efface sa configuration sur le serveur Passerelle Cloud, annule le déploiement de ce mappage et arrête l'extraction des données à partir de la source de données de ce module.

Attention : L'annulation du déploiement d'un mappage et la suppression de ce mappage a une incidence sur l'agrégation des données de ce flux analytique.

Pour supprimer un mappage :

  1. Dans le panneau Mappages des flux analytiques Cloud Gateway, sélectionnez le mappage que vous souhaitez supprimer. Vous ne pouvez supprimer qu'un seul mappage à la fois.
  2. Cliquez sur Delete icon.

Modifier le temps de latence

Si nécessaire, vous pouvez modifier le temps de latence pour le flux analytique. Le temps de latence définit le décalage entre l'heure actuelle (système) et l'heure à laquelle le flux analytique réceptionne les données.

  1. Dans le panneau Mappages des flux analytiques Cloud Gateway, sélectionnez le mappage que vous souhaitez modifier puis, dans la colonne Actions, sélectionnez Actions icon > Modifier le flux.
    La boîte de dialogue Paramètres du flux analytique affiche le flux analytique sélectionné, le service Cloud Gateway et les sources de données pour le mappage. Les sources de données indiquent les URL utilisées pour communiquer avec le service Cloud Gateway.
    Analytic Stream Settings dialog
  2. Si nécessaire, vous pouvez ajuster le Temps de latence (Minutes) pour donner aux Concentrators présents dans le mappage plus de temps pour terminer l'agrégation de toutes les données.
  3. Cliquez sur Enregistrer.
    Les modifications NE prennent PAS effet immédiatement. Pour que les paramètres prennent effet, vous devez annuler le déploiement et redéployer le mappage.
  4. Pour annuler le déploiement du mappage, dans le panneau Mappages des flux analytiques Cloud Gateway, sélectionnez le mappage dont vous voulez annuler le déploiement, puis sélectionnez Actions icon > Annuler le déploiement.
    L'agrégation des données s'arrête pour le mappage sélectionné.
  5. Pour redéployer le mappage, sélectionnez le mappage que vous souhaitez déployer, puis sélectionnez Actions icon > Déployer.
    Le mappage sélectionné se déploie et commence à agréger les données de la façon configurée dans le mappage.

Surveiller la passerelle Cloud Gateway

Vous pouvez surveiller les statistiques du service RSA Cloud Gateway dans NetWitness Suite.

Dans la vue Services, sélectionnez le service Serveur Cloud Gateway, puis sélectionnez actions icon > Vue > Explorer. Dans la vue Explorer, vous pouvez visualiser les statistiques importantes du service Cloud Gateway. Vous pouvez ajuster vos mappages de flux analytiques en fonction des besoins.

La figure suivante présente deux statistiques importantes que vous pouvez examiner pour chaque flux :

  • upload-bytes-meter : Cette statistique indique le nombre moyen d'octets téléchargés par seconde. Il s'agit de la vitesse de téléchargement (en octets).
  • events-seen-meter : Cette statistique indique le nombre d'événements extraits du service Concentrator par seconde. Il s'agit du taux de lecture (nombre).

La première partie du nom statistique indique le nom du flux analytique ; dans cet exemple, il s'agit de C2 :

C2/pipe/compressed/upload-bytes-meter

Cloud Gateway Server service Config Explore view - Top - showing the stream name "C2", upload-bytes-meter, and events-seen-meter

Si vous faites défiler l'écran vers le bas, vous pouvez voir le reste des statistiques. Si vous avez plusieurs flux analytiques, trop de statistiques apparaissent pour ce flux de données. Dans cet exemple, vous pouvez visualiser les statistiques des flux analytiques C2 et C2Packets.

Cloud Gateway Server service Config Explore view - Bottom

Remarque :
- Chaque flux analytique déployé place une charge supplémentaire sur les points de sortie Internet du réseau. Consultez les statistiques de téléchargement, par exemple upload-bytes-meter.
- Chaque flux analytiques que vous ajoutez a un impact sur les services Concentrator. Examinez les statistiques events-seen-meter et consultez la rubrique « Contrôler les détails d'un service » dans le Guide de maintenance du système.
- Veillez à mapper les flux analytiques aux services Concentrator qui recueillent activement ce type d'informations. Par exemple, les flux analytiques HTTP doivent uniquement être activés sur les services Concentrator qui collectent l'activité HTTP.

You are here
Table of Contents > Mappages des flux analytiques Cloud Gateway

Attachments

    Outcomes