RSA NetWitness Platform 11.5.0.0には、NetWitness Platformのすべての製品の機能拡張と修正が含まれています。特に記載のない限り、このガイド内の手順は物理ホストと仮想ホスト(AWS、Azure Public Cloud、Google Cloud Platformを含む)のどちらにも適用されます。

11.5では、NetWitness Platformのユーザ インタフェースにいくつかの新機能があります。管理タスクは右上隅にアイコンとして統合され、管理、構成、通知、ジョブ、ユーザ環境設定が一か所にまとめられました。次の図は、新しい最上位のナビゲーション メニューを示しています。詳細については、『NetWitness Platformスタート ガイド』の「NetWitness Platformの基本ナビゲーション」を参照してください。
basicview1_1228x59.png

アップグレード パス

NetWitness Platform 11.5.0.0では、以下のアップグレード パスがサポートされます。

  • RSA NetWitness Platform 11.3.x.xから11.5.0.0*
  • RSA NetWitness Platform 11.4.x.xから11.5.0.0

* 11.2.x.x、11.3.0.0、または11.3.0.1からアップグレードする場合は、11.3.1.1にアップグレードしてから、11.5にアップグレードする必要があります。

NetWitness Platformバージョン10.6.6.xからアップグレードする場合は、11.3.0.2にアップグレードしてから、11.5にアップグレードする必要があります。

10.6.6.xから11.3.0.2へのアップグレードについては、ご使用の環境に該当する以下のガイドを参照してください。

11.2.x.x、11.3.0.0、または11.3.0.1からのアップグレードについては、『アップグレード ガイド(RSA NetWitness Platform 11.3.1.1)』を参照してください。このガイドは、物理ホストと仮想ホスト(AWSとAzure Public Cloudを含む)のどちらにも適用されます。

混在モード

混在モードは、最新バージョンにアップグレードされたサービスと、古いバージョンのままのサービスが混在するときに生じます。詳細については、『RSA NetWitness Platformホストおよびサービス スタート ガイド』の「混在モードでの実行」を参照してください。

注: Endpoint Log Hybridを混在モードで実行している場合は、Endpoint BrokerがEndpoint Serverの1つと同じバージョンである必要があります。

ESAホストのアップグレードに関する考慮事項

混在モードは、NetWitness Platformバージョン11.5以降のESAホストではサポートされていません。

重要: NetWitness Server、ESAプライマリ ホスト、ESAセカンダリ ホストがすべて、同じNetWitness Platformバージョンである必要があります。

ESA Analyticsのアップグレードに関する考慮事項

Event Stream Analytics Server(ESA Analytics)サービスは、NetWitness Platformバージョン11.5以降ではサポートされていないため、使用できません。[Whoisルックアップの構成]パネルと[ESA Analyticsマッピング]パネルは、ユーザ インタフェース([管理]>[システム])に表示されなくなりました。

注: Event Stream Analysis(ESA)のサポートは終了していません。ESA相関ルールとESA Correlationサービスはサポートされています。自動脅威検出に使用されるESA Analyticsは、ESA相関ルールとは異なります。ESA Analyticsのサポートは終了します。ESA Analyticsの代わりに、より機能豊富でパフォーマンスに優れたESA相関ルールを使用してください。

STIXカスタム フィードのアップグレードに関する考慮事項

バージョン11.5より前に作成されたカスタム フィードは自動的に処理されます。ADHOC、REST、TAXIIサーバ用に作成されたデータ ソースとフィードは、アップグレード時に自動的に取得されます。詳細については、『RSA NetWitness Platform Liveサービス管理ガイド』の「STIXカスタム フィード」および『RSA NetWitness Platform Context Hub構成ガイド』の「データ ソースとしてのSTIXの構成」を参照してください。

[イベント]ビューの列グループに対する変更

[イベント]ビューにロードする結果の一貫性を高めるため、列グループの列数は40個に制限されます。

バージョン11.4以降からアップグレードする場合は、11.5にアップグレードした後も、[レガシー イベント]ビューから[イベント]ビューに移行された列グループは40列を上回っても機能します。ただし、これらのグループを編集すると、列数を40以下に減らすよう警告が表示されます。

Legacy Windows Collectorの更新またはインストール

RSA NetWitness 11.x Windows Legacy収集の構成ガイド』(https://community.rsa.com/docs/DOC-103165)を参照してください。

注: Windows Legacy Collectorの更新またはインストールの後、正常にログを収集するためには、システムを再起動する必要があります。

製品ドキュメントへのフィードバック

NetWitness Platformのドキュメントに関するフィードバックは、sahelpfeedback@emc.comまでメールで送信してください。