Hôte GS : Les bases

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Ce guide indique aux administrateurs les procédures standard d'ajout et de configuration d'hôtes et de services dans NetWitness Suite. Après une présentation de l'objectif de base des hôtes et services et de leur fonctionnement dans le réseau NetWitness Suite, ce guide décrit :

  • Tâches que vous devez effectuer pour configurer les hôtes et services dans votre réseau
  • Procédures supplémentaires que vous devez exécuter en fonction des besoins opérationnels quotidiens et à long termes de votre entreprise
  • Rubriques de référence décrivant l'interface utilisateur

Qu'est-ce qu'un hôte ?

L'hôte est la machine sur laquelle un service s'exécute. Ce peut être une machine physique ou virtuelle. Consultez la section « Schéma détaillé de déploiement des hôtes RSA NetWitness Suite » dans le Guide de déploiement de RSA Netwitness Suite pour une illustration de la manière dont les hôtes sont déployés. Accédez à la Table des matières principale de NetWitness Logs & Packets 11.x afin de trouver tous les documents NetWitness Suite 11.x.

Qu'est-ce qu'un type d'hôte ?

Un type d'hôte affecte un ou des services à un hôte lorsque vous installez un hôte à partir de la vue Hôtes. Choisissez un type d'hôte dans la boîte de dialogue Installer les services qui s'affiche au moment de sélectionner un hôte dans la vue Hôtes, puis cliquez sur (icône Installer). Le tableau suivant répertorie chaque type d'hôte, ainsi que le ou les services qu'il installe. Consultez la section « Schéma détaillé de déploiement des hôtes RSA NetWitness Suite » dans le Guide de déploiement de RSA Netwitness Suite pour une illustration de la manière dont les hôtes sont déployés. Accédez à la Table des matières principale de NetWitness Logs & Packets 11.x afin de trouver tous les documents NetWitness Suite 11.x.

                                                                       
Type d'hôteServices installés

Archiver

Workbench et Archiver

Broker

Broker

Cloud Gateway

Cloud Gateway

ConcentratorConcentrator

Endpoint Hybrid

Log Decoder, Endpoint et Concentrator

Endpoint Log Hybrid

Log Collector, Log Decoder, Endpoint et Concentrator

ESA primaireContext Hub, Entity Behavior Analysis et Event Stream Analysis

ESA secondaire

Entity Behavior Analysis et Event Stream Analysis

Log Collector

Log Collector

Log Decoder

Log Collector et Log Decoder

Log Hybrid

Log Collector, Log Decoder, Endpoint et Concentrator

Malware AnalysisMalware Analysis et Broker
Packet DecoderDecoder
Packet HybridConcentrator et Decoder

Warehouse Connector

Warehouse Connector

Qu'est-ce qu'un service ?

Un service exécute une fonction spécifique, par exemple la collecte des logs ou l'archivage des données. Chaque service s'exécute sur un port dédié et se présente comme un plug-in à activer ou désactiver selon la fonction de l'hôte.

Vous devez commencer par configurer les services Core suivants : 

  • Decoder
  • Concentrator
  • Broker
  • Log Decoder

Tous les services sont répertoriés ci-dessous et chaque service, excepté le Log Collector, possède son propre guide ou en partage un dans les Guides de configuration de l'hôte et des services. Le Log Collector possède son propre ensemble de guides de configuration pour gérer la configuration de tous les protocoles de collecte d'événements pris en charge. Pour plus d'informations sur Log Collector, reportez-vous à la section Guides de Log Collection.

  • Archiver
  • Broker
  • Cloud Gateway
  • Concentrator
  • Context Hub
  • Decoder (paquets)
  • Endpoint
  • Entity Behavior Analysis
  • Event Stream Analysis
  • Investigate
  • Log Collector
  • Log Decoder
  • Malware Analysis
  • Reporting Engine
  • Respond
  • Warehouse Connector
  • Workbench

Vous devez configurer les hôtes et les services pour qu'ils communiquent avec le réseau et entre eux afin d'exécuter leurs fonctions, par exemple le stockage ou la capture des données. 

Configuration d'un hôte

La vue Hôtes permet d'ajouter un hôte à NetWitness Suite.  Reportez-vous à l'Étape 1. Déployer un hôte pour obtenir des instructions détaillées.

Maintenance des hôtes

Utilisez la vue principale Hôtes pour effectuer des ajouts, des modifications, des suppressions et d'autres tâches de maintenance pour les hôtes présents dans votre déploiement. Utilisez la boîte de dialogue Liste des tâches pour réaliser des tâches relatives aux hôtes et à leurs communications avec le réseau. Reportez-vous à la section Hôtes et procédures de services pour obtenir des instructions détaillées.

Après avoir exécuté l'implémentation initiale de NetWitness Suite, la tâche principale à effectuer dans la vue Hôtes est la mise à jour de votre déploiement NetWitness Suite vers une nouvelle version.

Mettre à jour la convention de dénomination des versions

Utilisez la vue Hôtes pour appliquer les dernières mises à jour de la version depuis votre référentiel de mise à jour local (reportez-vous à la section Gérer les mises à jour NetWitness Suite dans Maintenance du système pour plus d'informations sur votre référentiel de mises à jour local). Vous devez comprendre la convention de dénomination des versions de mise à jour pour savoir quelle version appliquer à l'hôte. La convention de dénomination à appliquer est version-majeure.version-mineure.pack-service.correctif. Par exemple, si vous choisissez la version 11.6.1.2, vous appliquerez la version suivante à l'hôte.

  • 11 = version majeure
  •   6 = version mineure
  •   1 = service pack
  •   2 = correctif

NetWitness Suite prend en charge plusieurs versions dans votre déploiement. L'hôte du serveur Serveur NetWitness (NW) est mis à jour en premier et tous les autres hôtes doivent avoir une version identique ou antérieure à celle de l'hôte Serveur NW.

Remarque : Vous devez d'abord mettre à jour l'hôte Serveur NW et tous les autres hôtes doivent avoir une version identique ou antérieure à celle de l'hôte Serveur NW.

Dans l'exemple suivant de déploiement contenant plusieurs versions.

  • Les mises à jour de version actuellement disponibles dans votre référentiel de mises à jour local sont les versions 11.0.2.0 et 11.0.1.0 pour les hôtes Broker, LC/LD et Log Decoder.
  • L'hôte Serveur NW et tous les autres hôtes sont actuellement mis à jour vers la version 11.0.2.0.

Cela signifie que vous pouvez mettre à jour les hôtes Broker, LC/LD et Log Decoder vers la version 11.0.2.0 ou 11.0.2.0.

Maintenance des services

La vue Services permet d'ajouter, de modifier, de supprimer, de surveiller et d'effectuer d'autres tâches de maintenance des services dans votre déploiement. Reportez-vous à la section Hôtes et procédures de services pour obtenir des instructions détaillées.

Services mis en œuvre avec Serveur NetWitness

Les services dans le tableau suivant sont mis en œuvre lorsque vous déployez Serveur NW pour prendre en charge :

  • l'extension des plates-formes de déploiement physique et virtuel et des améliorations apportées aux hôtes et aux services de maintenance.
  • l'amélioration des fonctions Enquêter et Répondre.

Attention : Il est inutile de configurer ces services pour déployer NetWitness Suite. RSA recommande de surveiller l'état de fonctionnement de ces services à l'aide de l'Intégrité. N'essayez pas de modifier les paramètres dans la vue Explorer sans contacter le support client (https://community.rsa.com/docs/DOC-1294).

                                       
ServiceObjectif
Admin

Le serveur d'administration (serveur Admin) est le service back-end pour les tâches d'administration dans l'interface utilisateur NetWitness Suite (UI). Il permet d'extraire l'authentification, la gestion des préférences globales et la prise en charge de l'autorisation pour l'interface utilisateur. Le serveur de configuration et le serveur de sécurité doivent être en ligne pour que le serveur d'administration soit en mesure de remplir son rôle.

Config

Le serveur de configuration (serveur Config) stocke et gère les ensembles de configurations. Un ensemble de configurations est un groupe de configurations logiques géré de manière indépendante. Le serveur Config facilite le partage de propriétés parmi les services, comprend des fonctions de sauvegarde et de restauration de configuration, et suit les modifications apportées aux propriétés.

Intégration

Le serveur d'intégration gère les interactions avec les systèmes externes. Le service gère les canaux sortants ou entrants suivants.

  • REST API Gateway : passerelle vers les clients externes REST attribuant des appels à l'interface de programmation d'application (API) NetWitness.
  • Notifications Dispatcher - répartiteur centralisé pour toutes les notifications sortantes provenant du déploiement NetWitness.
InvestigateLe serveur Investigate est co-localisé sur l'hôte du serveur NW avec le serveur d'administration, le serveur de configuration, le serveur d'intégration, le serveur d'orchestration, le serveur Respond et le serveur de sécurité. Le serveur Investigate est co-localisé sur l'hôte du serveur NW avec le serveur d'administration, le serveur de configuration, le serveur d'intégration, le serveur d'orchestration, le serveur Respond et le serveur de sécurité. Consultez le Guide d'utilisation RSA NetWitness Suite Investigate et Malware Analysis pour plus d'informations. Accédez à la Table des matières principale de NetWitness Logs & Packets 11.x afin de trouver tous les documents NetWitness Suite 11.x.
Orchestration Le serveur Investigate est un service interne de gestion du système qui s'exécute sur Serveur NW afin de provisionner, installer et configurer tous les services dans votre déploiement NetWitness Suite.

Respond

Le service Respond est co-localisé sur l'hôte de serveur NW avec le serveur d'administration, le serveur de configuration, le serveur de procédure d'enquête, le serveur d'orchestration et le serveur de sécurité. Reportez-vous au Guide de configuration de RSA NetWitness Respond pour plus d'informations. Accédez à la Table des matières principale de NetWitness Logs & Packets 11.x afin de trouver tous les documents NetWitness Suite 11.x.

Sécurité

Le NetWitness Suite Security Server (serveur de sécurité) gère l'infrastructure de sécurité d'un déploiement NetWitness Suite. Il gère les problèmes suivants liés à la sécurité.

  • Utilisateurs et comptes d'authentification
  • Contrôle d'accès basé sur les rôles (RBAC)
  • Le déploiement de l'infrastructure à clé publique (PKI)

Un déploiement NetWitness Suite comprend des utilisateurs disposant de comptes d'authentification. Indépendamment de la manière de vérifier l'identité de l'analyste (par exemple, Active Directory), NetWitness Suite doit conserver l'état de l'utilisateur qui n'est pas fourni par tous les fournisseurs d'authentification (par exemple, la dernière heure de connexion, les tentatives de connexion ayant échoué et les rôles). Le concept d'un utilisateur est distinct de l'identité associée à l'utilisateur et le serveur de sécurité conserve ces éléments en tant qu'entités Utilisateur et Compte distinctes. Outre les comptes locaux prêts à l'emploi NetWitness disponibles pour tous les déploiements de NetWitness, le serveur prend en charge les fournisseurs d'authentification externe.

Le Serveur de sécurité permet également d'implémenter RBAC grâce à la gestion des entités de rôle et d'autorisation. Les autorisations peuvent être attribuées à des rôles, et des rôles peuvent être attribués aux utilisateurs. Ensemble, ils permettent une règle d'autorisation flexible pour le déploiement. Le serveur permet également de générer des jetons sécurisés par chiffrement qui codent l'autorisation appropriée pour un utilisateur. Ces jetons constituent la base des autorisations à l'échelle du déploiement.

Fonctionnement en mode Mixte

Le mode Mixte se produit lorsque certains services sont mis à jour vers la dernière version et que d'autres services fonctionnent toujours avec des versions plus anciennes. Cela se produit lorsque vous mettez à jour les hôtes de votre déploiement vers la dernière version en plusieurs phases (ou lorsque vous échelonnez la mise à jour).

Problèmes de fonctionnalité rencontrés lors de mises à jour échelonnées

Si vous échelonnez la mise à jour :

  • il se peut que toutes les fonctionnalités de la version ne soient pas opérationnelles si vous ne mettez pas à jour l'intégralité de votre déploiement ;
  • les fonctions d'administration des services ne seront peut-être pas disponibles avant de mettre à jour tous les hôtes de votre déploiement ;
  • il se peut que la capture des données ne fonctionne pas pendant un certain temps.

Exemples de mises à jour échelonnées

Dans les exemples suivants, tous les hôtes fonctionnent avec la version 11.1.0.x et vous souhaitez échelonner les mises à jour de l'hôte vers la version 11.1.1.0.

Exemple 1. Plusieurs services Decoder et Concentrator : solution alternative 1

Dans cet exemple, le déploiement 11.1.0.x inclut 1 hôte NW Server, 2 hôtes Decoder, 2 hôtes Concentrator, 1 hôte Archiver, 1 hôte Broker, 1 hôte Event Stream Analysis et 1 hôte Malware Analysis.

Vous devez d'abord terminer la Phase 1 et mettre à jour les hôtes dans l'ordre indiqué dans cette Phase 1.

RSA vous recommande de mettre à jour les hôtes de la Phase 2 dans l'ordre indiqué pour la Phase 1.

Phase 1 - Session 1

  1. Mettez à jour l'hôte Security Analytics Server.
  2. Mettez à jour l'hôte Event Stream Analysis.
  3. Mettez à jour l'hôte Malware Analysis.
  4. Hôte Broker ou Concentrator.

Phase 2 - Session 2

  1. Mettez à jour les 2 hôtes Decoder.
  2. Mettez à jour les 2 hôtes Concentrator et l'hôte Archiver.

Phase 2 - Session 3

  1. Mettez à jour tous les autres hôtes.

Exemple 2. Plusieurs services Decoder et Concentrator : solution alternative 2

Dans cet exemple, le déploiement 11.1.0.x inclut 1 hôte NW Server, 2 hôtes Decoder, 2 hôtes Concentrator, 1 hôte Broker, 1 hôte Event Stream Analysis et 1 hôte Malware Analysis. RSA vous recommande de mettre à jour les hôtes de la Phase 2 dans la séquence suivante (vous devez d'abord terminer la Phase 1 et mettre à jour les hôtes dans l'ordre indiqué).

Phase 1 - Session 1

  1. Mettez à jour l'hôte Security Analytics Server.
  2. Mettez à jour l'hôte Event Stream Analysis.
  3. Mettez à jour l'hôte Malware Analysis.
  4. Mettez à jour l'hôte Broker.

Phase 2 - Session 2

  1. Mettez à jour 1 hôte Decoder et 1 hôte Concentrator.
    Temps écoulé au cours duquel NetWitness Suite traite une quantité importante de données.

Phase 2 - Session 3

  1. Mettez à jour 1 hôte Decoder, 1 hôte Concentrator et un hôte Broker.
  2. Log Decoders
    Mettez à jour tous les hôtes Log Decoder avant de mettre à jour les Virtual Log Collectors

  3. Mettez à jour tous les autres hôtes.

Exemple 3. Plusieurs régions

Dans cet exemple, le déploiement 11.1.0.x inclut 1 hôte NW Server, 1 hôte Event Stream Analysis, 1 hôte Malware Analysis, 4 hôtes Decoder, 4 hôtes Concentrator, 2 hôtes Broker, (2 sites, chacun comprenant 2 Decoders, 2 Concentrators et 1 Broker).

Phase 1 - Mise à jour du site 1

  1. Mettez à jour l'hôte NW Server.
  2. Mettez à jour l'hôte Event Stream Analysis.
  3. Mettez à jour l'hôte Malware Analysis.
  4. Mettez à jour 1 hôte Broker, 2 hôtes Decoder et 2 hôtes Concentrator.
  5. Mettez à jour tous les autres hôtes.

Phase 2 - Mise à jour du site 2

  1. Mettez à jour les hôtes Broker.
  2. Mettez à jour les 2 hôtes Decoders.
  3. Mettez à jour les 2 hôtes Concentrator.
  4. Mettez à jour tous les autres hôtes.

 

You are here
Table of Contents > Notions de base sur les hôtes et les services

Attachments

    Outcomes