Hôte GS : Les bases

Document created by RSA Information Design and Development on Oct 22, 2018Last modified by RSA Information Design and Development on Jun 27, 2019
Version 3Show Document
  • View in full screen mode
 

Ce guide indique aux administrateurs les procédures standard d'ajout et de configuration d'hôtes et de services dans NetWitness Platform. Après une présentation de l'objectif de base des hôtes et services et de leur fonctionnement dans le réseau NetWitness Platform, ce guide décrit :

  • Tâches que vous devez effectuer pour configurer les hôtes et services dans votre réseau
  • Procédures supplémentaires que vous devez exécuter en fonction des besoins opérationnels quotidiens et à long termes de votre entreprise
  • Rubriques de référence décrivant l'interface utilisateur

Accédez à la Table des matières principale pour rechercher tous les documents sur NetWitness Platform Logs & Network 11.x.

Qu'est-ce qu'un hôte ?

L'hôte est la machine sur laquelle un service s'exécute. Ce peut être une machine physique ou virtuelle. Consultez la section « Schéma détaillé de déploiement des hôtes NetWitness Platform » dans le Guide de déploiement NetWitness Platform pour une illustration de la manière dont les hôtes sont déployés.

Qu'est-ce qu'une catégorie ?

Une catégorie affecte un ou des services à un hôte lorsque vous installez un hôte à partir de la vue Hôtes. Choisissez une catégorie d'hôte dans la boîte de dialogue Installer les services qui s'affiche au moment de sélectionner un hôte dans la vue Hôtes, puis cliquez sur . Le tableau suivant répertorie chaque type d’hôte et les services qu’il installe. Consultez la section « Schéma détaillé de déploiement des hôtes NetWitness Platform » dans le Guide de déploiement NetWitness Platform pour une illustration de la manière dont les hôtes sont déployés.

                                                                           
CatégorieServices installés

Archiver

Workbench et Archiver

Broker

Broker

Passerelle Cloud

Passerelle Cloud

Concentrator

Concentrator

Endpoint Broker

Endpoint Broker

Endpoint Log Hybrid

Log Collector, Log Decoder, Endpoint Server et Concentrator

ESA primaire

Corrélation d'analytique comportementale, Contexthub et ESA

ESA secondaire

Analytique comportementale de l'entité et corrélation ESA

Log Collector

Log Collector

Log Decoder

Log Collector et Log Decoder

Log Hybrid

Log Collector, Log Decoder et Concentrator

Analyse de logiciel malveillant

Analyse de logiciel malveillant et Broker

Décodeur réseau

Decoder (paquets)

Réseau hybride

Concentrator et Decoder

UEBA

UEBA

Warehouse Connector

Warehouse Connector

Qu'est-ce qu'un service ?

Un service exécute une fonction spécifique, par exemple la collecte des logs ou l'archivage des données. Chaque service s'exécute sur un port dédié et se présente comme un plug-in à activer ou désactiver selon la fonction de l'hôte.

Vous devez commencer par configurer les services de base suivants : 

  • Decoder
  • Concentrator
  • Broker
  • Log Decoder

Tous les services sont répertoriés ci-dessous et chaque service, excepté le Log Collector, possède son propre guide ou en partage un dans les Guides de configuration de l'hôte et des services. Le Log Collector possède son propre ensemble de guides de configuration pour gérer la configuration de tous les protocoles de collecte d'événements pris en charge. Pour plus d'informations sur Log Collector, reportez-vous à la section Guides de Log Collection.

                                                                                                                                        
CatégorieServicesPort non SSL
non chiffré
Port SSL
chiffré
Remarques

Serveur d'administration

Admin
Config
Contenu
Intégration
Procédure d’enquête
Licence
Orchestration
Reporting Engine
Répondre
Sécurité

s.o
s.o
s.o
s.o
s.o
s.o
s.o
51113
s.o
s.o

s.o
s.o
s.o
s.o
s.o
s.o
s.o
s.o
s.o
s.o

Implémenté avec le serveur NW
Implémenté avec le serveur NW
Implémenté avec le serveur NW
Implémenté avec le serveur NW
Implémenté avec le serveur NW
Implémenté avec le serveur NW
Implémenté avec le serveur NW

Implémenté avec le serveur NW
Implémenté avec le serveur NW

Archiver Archiver
Workbench
50008
50007
56008
56007

 

 

Broker

Broker

5000356003Service de base

Passerelle Cloud

Passerelle Cloud

s.o.s.o.

 

Concentrator

Concentrator

5000556005Service de base

Endpoint Broker

Endpoint Broker

s.o

s.o

 

Endpoint Log HybridLog Collector
Log Decoder
Serveur Endpoint
Concentrator
50001
50002
s.o
50005
56001
56002
s.o
56005
 
ESA primaireAnalytique comportementale de l'entité
Contexthub
Corrélation ESA
s.o
s.o
s.o
s.o
s.o
50030
 
ESA secondaireCorrélation ESA d'
analytique comportementale de l'entité
s.o
s.o
s.o
s.o
 
Log Collector

Log Collector

5000156001 

Log Decoder

Log Collector
Log Decoder

50001
50002

56001
56002

 

Log HybridLog Collector
Log Decoder
Concentrator

50001
50002
50005

56001
56002
56005

 

Analyse de logiciel malveillant

Analyse de logiciel malveillant
Broker

s.o.

60007

 

Décodeur réseauDecoder5000456004 

Réseau hybride

Concentrator
Decoder

50005

56005

 

UEBA

UEBA

s.o.

s.o.

 

Warehouse Connector

Warehouse Connector

5002056020

Installation à partir de la ligne de commande

Vous devez configurer les hôtes et les services pour qu'ils communiquent avec le réseau et entre eux afin d'exécuter leurs fonctions, par exemple le stockage ou la capture des données. 

Configuration d'un hôte

La vue Hôtes permet d'ajouter un hôte à NetWitness Platform.  Reportez-vous à l’Étape 1. Déployer un hôte pour obtenir des instructions détaillées.

Maintenance des hôtes

Utilisez la vue principale ADMIN > Hôtes pour effectuer des ajouts, des modifications, des suppressions et d'autres tâches de maintenance pour les hôtes présents dans votre déploiement. Utilisez la boîte de dialogue Liste des tâches pour réaliser des tâches relatives aux hôtes et à leurs communications avec le réseau. Reportez-vous à la section Hôtes et procédures de services pour obtenir des instructions détaillées.

Après avoir exécuté l'implémentation initiale de NetWitness Platform, la tâche principale à effectuer dans la vue Hôtes est la mise à jour de votre déploiement NetWitness Platform vers une nouvelle version.

Mettre à jour la convention de dénomination des versions

Utilisez la vue Hôtes pour appliquer les mises à jour de version les plus récentes à partir de votre Renseigner le référentiel de mises à jour local. Vous devez comprendre la convention de dénomination des versions de mise à jour pour savoir quelle version appliquer à l'hôte. La convention de dénomination à appliquer est version-majeure.version-mineure.pack-service.correctif. Par exemple, si vous choisissez la version 11.6.1.2, vous appliquerez la version suivante à l'hôte.

  • 11 = version majeure
  •   6 = version mineure
  •   1 = service pack
  •   2 = correctif

NetWitness Platform prend en charge plusieurs versions dans votre déploiement. L'hôte du serveur Serveur NetWitness (NW) est mis à jour en premier et tous les autres hôtes doivent avoir une version identique ou antérieure à celle de l'hôte Serveur NW.

L'exemple suivant est un déploiement de version unique avec tous les hôtes mis à jour vers la version 11.3.0.0 (dernière version RSA disponible).

Maintenance des services

La vue ADMIN > Services permet d'ajouter, de modifier, de supprimer, de surveiller et d'effectuer d'autres tâches de maintenance des services présents dans votre déploiement. Reportez-vous à la section Hôtes et procédures de services pour obtenir des instructions détaillées.

Services mis en œuvre avec Serveur NetWitness

Les services dans le tableau suivant sont mis en œuvre lorsque vous déployez Serveur NW pour prendre en charge :

  • l'extension des plates-formes de déploiement physique et virtuel et des améliorations apportées aux hôtes et aux services de maintenance.
  • Fonctions de contenu, procédure d’enquête, réponse et source.

Attention : Il est inutile de configurer ces services pour déployer NetWitness Platform. RSA recommande de surveiller l'état de fonctionnement de ces services à l'aide de l'Intégrité. N’essayez pas de modifier les paramètres dans la vue Explorer sans contacter le support client (https://community.rsa.com/docs/DOC-1294).

                                               
ServiceObjectif
Admin

Le serveur d'administration (serveur Admin) est le service back-end pour les tâches d'administration dans l'interface utilisateur NetWitness Platform (UI). Il permet d'extraire l'authentification, la gestion des préférences globales et la prise en charge de l'autorisation pour l'interface utilisateur. Le serveur de configuration et le serveur de sécurité doivent être en ligne pour que le serveur d’administration soit en mesure de remplir son rôle.

Config

Le serveur de configuration (serveur Config) stocke et gère les ensembles de configurations. Un ensemble de configurations est un groupe de configurations logiques géré de manière indépendante. Le serveur de configuration facilite le partage de propriétés parmi les services, fournit des fonctions de sauvegarde et de restauration de configuration, et suit les modifications apportées aux propriétés.

Contenu

Le serveur de contenu gère les règles d'analyseur fournies par RSA et créées par l'utilisateur. Pour plus d'informations sur la gestion des analyseurs, faites une recherche sur « analyseurs » dans RSA Link.

Intégration

Le serveur d'intégration gère les interactions avec les systèmes externes. Le service gère les canaux sortants ou entrants suivants.

  • REST API Gateway : passerelle vers les clients externes REST attribuant des appels à l'interface de programmation d'application (API) NetWitness.
  • Notifications Dispatcher - répartiteur centralisé pour toutes les notifications sortantes provenant du déploiement NetWitness.
InvestigateLe serveur de procédure d’enquête prend en charge les fonctions d’enquête et d’analyse de malware. Pour plus d’informations, consultez le Guide d’utilisation des fonctions d’enquête et d’analyse de malware NetWitness Platform.
Orchestration Le serveur d'orchestration permet le provisionnement, l'installation et la configuration de tous les services dans un déploiement NetWitness Platform.

Répondre

Le serveur de réponse prend en charge la fonction de réponse. Pour plus d'informations, consultez le Guide de configuration NetWitness Platform Respond.

Sécurité

Le serveur de sécurité NetWitness Platform (serveur de sécurité) gère l’infrastructure de sécurité d’un déploiement NetWitness Platform. Il gère les problèmes suivants liés à la sécurité.

  • Utilisateurs et comptes d'authentification
  • Contrôle d'accès basé sur les rôles (RBAC)
  • Le déploiement de l'infrastructure à clé publique (PKI)

Un déploiement NetWitness Platform comprend des utilisateurs disposant de comptes d’authentification. Indépendamment du mode de vérification de l’identité de l’analyste (par exemple, Active Directory), NetWitness Platform doit conserver l’état de l’utilisateur qui n’est pas fourni par tous les fournisseurs d’authentification (par exemple, la dernière heure de connexion, les tentatives de connexion ayant échoué et les rôles). Le concept d'un utilisateur est distinct de l'identité associée à l'utilisateur et le serveur de sécurité conserve ces éléments en tant qu'entités Utilisateur et Compte distinctes. Outre les comptes locaux prêts à l'emploi NetWitness disponibles pour tous les déploiements de NetWitness, le serveur prend en charge les fournisseurs d'authentification externe.

Le serveur de sécurité permet également d'implémenter RBAC grâce à la gestion des entités de rôle et d'autorisation. Les autorisations peuvent être attribuées à des rôles, et des rôles peuvent être attribués aux utilisateurs. Ensemble, ils permettent une règle d'autorisation flexible pour le déploiement. Le serveur permet également de générer des jetons sécurisés par chiffrement qui codent l'autorisation appropriée pour un utilisateur. Ces jetons constituent la base des autorisations à l'échelle du déploiement.

Source

Le serveur source est réservé à une utilisation future et fournira un emplacement centralisé pour configurer des sources (par exemple, terminaux et sources de log).

Fonctionnement en mode Mixte

Le mode Mixte se produit lorsque certains services sont mis à jour vers la dernière version et que d'autres services fonctionnent toujours avec des versions plus anciennes. Cela se produit lorsque vous mettez à jour les hôtes de votre déploiement vers la dernière version en plusieurs phases (ou lorsque vous échelonnez la mise à jour).

Problèmes de fonctionnalité rencontrés lors de mises à jour échelonnées

Si vous échelonnez la mise à jour :

  • il se peut que toutes les fonctionnalités de la version ne soient pas opérationnelles si vous ne mettez pas à jour l'intégralité de votre déploiement ;
  • les fonctions d'administration des services ne seront peut-être pas disponibles avant de mettre à jour tous les hôtes de votre déploiement ;
  • il se peut que la capture des données ne fonctionne pas pendant un certain temps.

Exemples de mises à jour échelonnées

Dans les exemples suivants, tous les hôtes fonctionnent avec la version 11.3.0.x et vous souhaitez échelonner les mises à jour de l'hôte vers la version 11.3.1.0.

Exemple 1. Plusieurs services Decoder et Concentrator : solution alternative 1

Dans cet exemple, le déploiement 11.3.0.x inclut 1 hôte de serveur NW 2 hôtes Decoder, 2 hôtes Concentrator, 1 hôte Archiver, 1 hôte Broker, 1 hôte Event Stream Analysis et 1 hôte Analyse de logiciel malveillant.

Vous devez d'abord terminer la Phase 1 et mettre à jour les hôtes dans l'ordre indiqué dans cette Phase 1.

RSA vous recommande de mettre à jour les hôtes de la Phase 2 dans l'ordre indiqué pour la Phase 2.

Phase 1 - Session 1

  1. Mettez à jour l’hôte de serveur NetWitness.
  2. Mettez à jour l'hôte Event Stream Analysis.
  3. Mettez à jour l'hôte Endpoint Log Hybrid.
  4. Mettez à jour l'hôte Malware Analysis.
  5. Mettre à jour l’hôte Broker ou Concentrator.

Phase 2 - Session 2

  1. Mettez à jour les 2 hôtes Decoder.
  2. Mettez à jour les 2 hôtes Concentrator et l'hôte Archiver.

Phase 2 - Session 3

  1. Mettez à jour tous les autres hôtes.

Exemple 2. Plusieurs services Decoder et Concentrator : solution alternative 2

Dans cet exemple, le déploiement 11.3.0 inclut 1 hôte NW Server, 2 hôtes Decoder, deux hôtes Concentrator, 1 hôte Broker, 1 hôte Event Stream Analysis et 1 hôte Analyse de logiciel malveillant. RSA vous recommande de mettre à jour les hôtes de la Phase 2 dans la séquence suivante (vous devez d'abord terminer la Phase 1 et mettre à jour les hôtes dans l'ordre indiqué).

Phase 1 - Session 1

  1. Mettez à jour l’hôte de serveur NetWitness.
  2. Mettez à jour l'hôte Event Stream Analysis.
  3. Mettez à jour l'hôte Endpoint Log Hybrid.
  4. Mettez à jour l'hôte Malware Analysis.
  5. Mettez à jour l’hôte Broker.

Phase 2 - Session 2

  1. Mettez à jour un hôte Decoder et un hôte Concentrator.
    Temps écoulé au cours duquel NetWitness Platform traite une quantité importante de données.

Phase 2 - Session 3

  1. Mettez à jour un hôte Decoder, un hôte Concentrator et un hôte Broker.
  2. Mettez à jour tous les hôtes Log Decoder avant de mettre à jour les Virtual Log Collectors.

  3. Mettez à jour tous les autres hôtes.

Exemple 3. Plusieurs régions

Dans cet exemple, le déploiement 11.3.0.x inclut 1 hôte NW Server, 1 hôte Event Stream Analysis, 1 hôte Analyse de logiciel malveillant, 4 hôtes Decoder, 4 hôtes Concentrator, 2 hôtes Broker, (2 sites, chacun comprenant 2 Decoders, 2 Concentrators et 1 Broker).

Phase 1 - Mise à jour du site 1

  1. Mettez à jour l'hôte NW Server.
  2. Mettez à jour l'hôte Event Stream Analysis.
  3. Mettez à jour l'hôte Endpoint Log Hybrid.
  4. Mettez à jour l'hôte Malware Analysis.
  5. Mettez à jour 1 hôte Broker, 2 hôtes Decoder et 2 hôtes Concentrator.
  6. Mettez à jour tous les autres hôtes.

Phase 2 - Mise à jour du site 2

  1. Mettez à jour les hôtes Broker.
  2. Mettez à jour les 2 hôtes Decoders.
  3. Mettez à jour les 2 hôtes Concentrator.
  4. Mettez à jour tous les autres hôtes.

 

You are here
Table of Contents > Notions de base sur les hôtes et les services

Attachments

    Outcomes