JSA 部署概述

JSA 架构支持不同大小和拓扑的部署，从所有软件组件在单个系统上运行的单一主机部署，到多个主机（事件收集器和流处理器、数据节点、应用程序主机、事件处理器和流处理器等设备具有特定角色）。

第一个部署示例的主要重点是描述中型公司的单个一体化设备部署。后续示例介绍了随着公司扩展的部署选项。这些示例介绍了何时添加 JSA 组件（例如流处理器、事件收集器和数据节点），以及何时需要共同定位特定组件。

JSA 部署的要求取决于所选部署的容量，以处理和存储您想要在网络中分析的所有数据。

在规划部署之前，请考虑以下问题：

• 贵公司如何使用互联网？您上传的是否与下载的相同？使用量的增加可能会增加您面临潜在安全问题的风险。

• 您需要监控每秒多少个事件 （EPS） 和每分钟流量 （FPM）？

  EPS 和 FPM 许可证容量要求会随着部署的增加而增加。

• 您需要存储多少信息，需要存储多长时间？

下图显示了可用于在 JSA 部署中收集、处理和存储事件和流数据的 JSA 组件。一体化设备包括数据收集、处理、存储、监控、搜索、报告和攻击管理功能。

事件收集器从网络中的日志源收集事件数据，然后将事件数据发送至事件处理器。流处理器从交换机 SPAN 端口等网络设备收集流数据，然后将该数据流发送至流处理器。两个处理器都处理收集器中的数据，并将数据提供给 JSA 控制台。处理器设备可以存储数据，但它们也可以使用数据节点来存储数据。JSA 控制台设备用于 JSA 部署的监控、数据搜索、报告、攻击管理和管理。