基本のRSA NetWitness® Platformネットワークには、最小構成でBroker、Concentrator、Decoderが含まれています。BrokerはConcentratorからデータを集約し、Concentratorは少なくとも1つのNetwork DecoderまたはLog Decoderのデータを利用します。基本のネットワークには、両方のタイプのDecoderを含めることができます。Network Decoderは通常Decoderと呼ばれ、パケット形式でネットワーク データを収集します。Log Decoderはイベントとしてログ データを収集します。
Decoderを追加するとNetWitness Platform、Administration、Live Services、Investigateで表示および使用できるようになります。NetWitness Platformにサービスを追加するには、サービスのタイプを選択し、サービスの接続情報を指定して、サービスに到達可能であることを確認します。「ホストおよびサービス スタート ガイド」には、すべてのNetWitness Platformサービスを理解し、インストールするために必要な情報が記載されています。
サービスが追加された後に、各サービスを構成する必要があります。システム構成の優先順序は次のとおりです。
- Decoder
- Log Decoder
- Concentrator(「BrokerおよびConcentrator構成ガイド」を参照)
- Broker(「BrokerおよびConcentrator構成ガイド」)
注:Log Decoderは特殊なタイプのDecoderで、Decoderと同様に構成および管理されます。このガイドのほとんどの情報は、両方のタイプのDecoderについてあてはまります。「Decoder」は、Decoderの両方のタイプを表します。Network DecoderまたはLog Decoderにのみ適用される情報は、明確に識別されます。
「Basic Configuration of the Decoder」では、ネットワーク アダプタのインタフェースを選択し、データ収集を開始します。
また、各Decoderで、ルール、Feed、Parserの構成を使用して、収集するトラフィックのタイプを制御するように設定できます。高度な構成タスクでは、特定のアプリケーションに関連する追加の機能を有効にします。たとえば、10G Decoderの構成、カスタムのメタ キーの作成、着信パケットの復号を実行します。
DecoderとLog Decoderの必要なすべての設定を構成する最も簡単な方法は、NetWitness Platformユーザ インタフェースのオプションを使用することです。ほとんどの場合、構成は[管理]の[サービス]ビューで実行されます([管理]>[サービス])。
ユーザ インタフェース以外での作業に慣れている管理者は、Decoderノード ツリーでサービスの[エクスプローラ]ビューを使用してデータベース ノードを編集し、基本のパラメータと高度な設定を構成できます。
初期のクイック セットアップの実行
この処理手順では、Decoderの初期の基本構成を実行し、データ収集を開始します。基本のセットアップが完了すると、DecoderはConcentratorで利用するデータの収集を開始します。
Decoderを構成し、データの収集を開始するには、以下の手順を実行します。
- データを収集するネットワーク インタフェースを割り当てます。詳細については、「収集設定の構成」の「ネットワーク アダプタの選択」を参照してください。
- 次のいずれかを実行します。
- 収集を開始するには、Decoderを選択し、
>[表示]>[システム]を選択します。ツールバーで、
をクリックします。
- [収集の自動開始]を有効にするには、「収集設定の構成」の「Decoderの構成によるデータの自動収集の開始」を参照してください。
DecoderはConcentratorで利用するデータの収集を開始します。追加の構成オプションについては、「Decoderでの一般的な設定の構成 」と「DecoderおよびLog Decoderの追加の手順」を参照してください。
- 収集を開始するには、Decoderを選択し、
On this page
