Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

JSA-Komponenten

Verwenden Sie JSA-Komponenten , um eine JSA-Bereitstellung zu skalieren und die Datenerfassung und -verarbeitung in verteilten Netzwerken zu verwalten.

Hinweis:

Softwareversionen für alle JSA-Appliances in einer Bereitstellung müssen dieselbe Version und dieselbe Version sein. Bereitstellungen, die unterschiedliche Softwareversionen verwenden, werden nicht unterstützt, da Umgebungen, die gemischte Versionen verwenden, dazu führen können, dass Regeln nicht ausgelöst werden, Verstöße nicht erstellt oder aktualisiert werden müssen und Fehler in den Suchergebnissen.

JSA-Bereitstellungen können die folgenden Komponenten umfassen:

  • JSA-Konsole– Die JSA-Konsole bietet die JSA-Benutzeroberfläche sowie Echtzeit-Ereignis- und Datenstromansichten, Berichte, Angriffe, Asset-Informationen und administrative Funktionen.

    Verwenden Sie in verteilten JSA-Bereitstellungen die JSA-Konsole , um Hosts zu verwalten, die andere Komponenten enthalten.

  • JSA-Ereignissammler– Der Ereignissammler erfasst Ereignisse aus lokalen und Remoteprotokollquellen und normalisiert Rohprotokollquellenereignisse, um sie für die Verwendung durch JSA zu formatieren. Der Ereignissammler bündelt oder kombiniert identische Ereignisse, um die Systemnutzung zu erhalten, und sendet die Daten an den Ereignisprozessor.

    • Verwenden Sie den JSA Event Collector an Remote-Standorten mit langsamen WAN-Verbindungen. Die Ereignissammler-Appliances speichern Ereignisse nicht lokal. Stattdessen erfassen und analysieren die Appliances Ereignisse, bevor sie Ereignisse zur Speicherung an eine Event Processor Appliance senden.

    • Der Ereignissammler kann Bandbreitenbegrenzer und Zeitpläne verwenden, um Ereignisse an den Ereignisprozessor zu senden, um WAN-Einschränkungen wie gelegentliche Konnektivität zu überwinden.

    • Der Ereignissammler wird einer EPS-Lizenz zugewiesen, die dem Ereignisprozessor entspricht, mit dem er verbunden ist.

  • JSA-Ereignisprozessor: Der Ereignisprozessor verarbeitet Ereignisse, die von einer oder mehreren Ereignissammler-Komponenten erfasst werden. Der Ereignisprozessor verarbeitet Ereignisse mithilfe der Custom Rules Engine (CRE). Wenn Ereignisse mit den benutzerdefinierten CRE-Regeln abgeglichen werden, die in der Konsole vordefiniert sind, führt der Ereignisprozessor die Aktion aus, die für die Regelantwort definiert wurde.

    Jeder Ereignisprozessor verfügt über einen lokalen Speicher, und Ereignisdaten werden auf dem Prozessor gespeichert, oder sie können auf einem Datenknoten gespeichert werden.

    Die Verarbeitungsrate für Ereignisse wird durch Ihre EPS-Lizenz (Events pro Sekunde) bestimmt. Wenn Sie die EPS-Rate überschreiten, werden Ereignisse gepuffert und verbleiben in den Quellwarteschlangen für den Ereignissammler , bis die Rate fällt. Wenn Sie jedoch weiterhin die EPS-Lizenzrate überschreiten und die Warteschlange sich füllt, lässt Ihr System Ereignisse ab, und JSA warnt vor der Überschreitung Ihrer lizenzierten EPS-Rate.

    Wenn Sie einen Ereignisprozessor zu einer All-in-One-Appliance hinzufügen, wird die Ereignisverarbeitungsfunktion vom All-in-One zum Ereignisprozessor verschoben.

  • JSA Flow Processor–Der Flow Processor verarbeitet Datenströme von einer oder mehreren JSA-Flow-Prozessor-Appliances . Die Flow Processor Appliance kann auch externe Netzwerkströme wie NetFlow, J-Flow und sFlow direkt von Routern in Ihrem Netzwerk erfassen. Sie können die Flow Processor Appliance verwenden, um Ihre JSA-Bereitstellung zu skalieren, um höhere Datenströme pro Minute (FPM)-Raten zu verwalten. Datenstromprozessoren umfassen einen on-Board-Flow-Prozessor und internen Speicher für Datenstromdaten. Wenn Sie einer All-in-One-Appliance einen Flow-Prozessor hinzufügen, wird die Verarbeitungsfunktion von der All-in-One-Appliance zum Flow-Prozessor verschoben.

  • JSA-Datenknoten: Datenknoten ermöglichen neue und bestehende JSA-Bereitstellungen , um bei Bedarf Speicher- und Verarbeitungskapazität hinzuzufügen. Datenknoten tragen dazu bei, die Suchgeschwindigkeit in Ihrer Bereitstellung zu erhöhen, indem sie mehr Hardwareressourcen bereitstellen, auf denen Suchabfragen ausgeführt werden können.

  • QRadar App Host– Ein App-Host ist ein verwalteter Host, der für laufende Apps bestimmt ist. App-Hosts stellen zusätzlichen Speicher, Arbeitsspeicher und CPU-Ressourcen für Ihre Apps bereit, ohne die Verarbeitungskapazität Ihrer JSA-Konsole zu beeinträchtigen. Anwendungen wie Die Analyse des Benutzerverhaltens mit Analysen zum maschinellen Lernen erfordern mehr Ressourcen, als derzeit in der Konsole verfügbar sind.

Weitere Informationen zur Verwaltung von JSA-Komponenten finden Sie im Juniper Secure Analytics Administration Guide.

Weitere Informationen zu den JSA-Gerätespezifikationen finden Sie im Hardwareleitfaden von Juniper Secure Analytics.

Ähnliche Dokumentation