JSA 组件
使用 JSA 组件扩展 JSA 部署,并管理分布式网络中数据的收集和处理。
部署中所有 JSA 设备的软件版本和构建版本必须相同。不支持使用不同版本的软件的部署,因为使用混合版本的环境可能会导致规则不触发、无法创建或更新违规以及搜索结果中出现错误。
JSA 部署可以包括以下组件:
JSA 控制台-- JSA 控制台 提供 JSA 用户界面,以及实时事件和流视图、报告、攻击、资产信息和管理功能。
在分布式 JSA 部署中,使用 JSA 控制台 管理包含其他组件的主机。
JSA 事件收集器 -- 事件收集器 从本地和远程日志源收集事件,并规范原始日志源事件,使其格式化供 JSA 使用。 事件收集器 捆绑或合并相同的事件,以节省系统使用情况,并将数据发送至 事件处理器。
在 WAN 链路速度较慢的远程位置使用 JSA 事件收集器。事件收集器设备不会在本地存储事件。相反,设备会先收集和分析事件,然后再将事件发送到事件处理器设备进行存储。
事件收集器可以使用带宽限制器和计划将事件发送到事件处理器,以克服 WAN 限制,例如时断时续的连接。
事件收集器被分配给与其连接到的事件处理器匹配的 EPS 许可证。
JSA 事件处理器 - 事件处理器 处理从一个或多个 事件收集器 组件收集的事件。 事件处理器 使用自定义规则引擎 (CRE) 处理事件。如果事件与控制台上预定义的 CRE 自定义规则匹配, 事件处理器 将执行为规则响应定义的操作。
每个 事件处理器 都有本地存储,事件数据存储在处理器上,也可以存储在 数据节点上。
事件的处理速率由您的每秒事件 (EPS) 许可证决定。如果超过 EPS 速率,事件将得到缓冲,并保留在 事件收集器 源队列中,直到速率下降。但是,如果继续超过 EPS 许可证速率,而队列已满,则系统将丢弃事件, JSA 会发出有关超过许可 EPS 速率的警告。
将 事件处理器 添加到一体式设备时,事件处理功能将从一体式设备移动到 事件处理器。
JSA 流处理器 - 流处理器 处理来自一个或多个 JSA 流处理器设备的流 。 流处理器 设备还可以直接从网络中的路由器收集外部网络流,如 NetFlow、J-Flow 和 sFlow。您可以使用 流处理器 设备扩展 JSA 部署,以管理更高的每分钟流 (FPM) 速率。 流处理器 包括板载 流处理器和内部存储流数据。将 流处理器 添加到一体式设备时,处理功能将从一体设备移动到 流处理器。
JSA 数据节点 - 数据节点支持新的和现有 JSA 部署,从而根据需要增加存储和处理容量。 数据节点 提供更多可运行搜索查询的硬件资源,从而帮助您提高部署中的搜索速度。
QRadar 应用程序主机 - 应用程序主机是专用于运行应用程序的托管主机。应用程序主机为您的应用提供额外的存储、内存和 CPU 资源,而不会影响 JSA 控制台的处理能力。具有机器学习分析的用户行为分析等应用需要的资源比控制台上目前可用的资源更多。
有关管理 JSA 组件的更多信息,请参阅 《瞻博网络安全分析管理指南》。
有关 JSA 设备规格的更多信息,请参阅 《瞻博网络安全分析硬件指南》。