JSAのコンポーネント

手記：

デプロイメント内のすべてのJSAアプライアンスのソフトウェア・バージョンは、同じバージョンおよびパッチ・レベルである必要があります。異なるバージョンのソフトウェアを使用する展開はサポートされていません。

JSAデプロイメントには、次のコンポーネントを含めることができます。

JSAフロープロセッサ

SPANポートまたはネットワークタップを通じて、ネットワークからのトラフィックフローを受動的に収集します。JSA Flow Processor は、NetFlow などの外部フローベースのデータ ソースの収集もサポートしています。

JSAコンソール

JSA 製品のユーザー インターフェイスを提供します。このインターフェイスは、リアルタイムのイベントとフロービュー、レポート、オフェンス、アセット情報、および管理機能を提供します。

分散JSAデプロイメントでは、JSAコンソールを使用して、他のコンポーネントを含むホストを管理します。

奉行

JSAコンソールで実行されるサービスであるMagistrateは、コア処理コンポーネントを提供します。デプロイごとに 1 つの治安判事コンポーネントを追加できます。治安判事は、ネットワークトラフィックとセキュリティイベントの表示、レポート、アラート、および分析を提供します。

治安判事コンポーネントは、カスタムルールに対してイベントを処理します。イベントがルールに一致する場合、Magistrate コンポーネントはカスタムルールで構成された応答を生成します。

例えば、カスタム・ルールは、イベントがルールに一致するとオフェンスが作成されることを示す場合があります。カスタムルールに一致するものがない場合、治安判事コンポーネントはデフォルトのルールを使用してイベントを処理します。オフェンスは、複数の入力、個々のイベント、および分析された動作と脆弱性と組み合わされたイベントを使用して処理されるアラートです。治安判事コンポーネントは、犯罪に優先順位を付け、イベント数、重大度、関連性、信頼性など、いくつかの要因に基づいてマグニチュード値を割り当てます。

JSAイベント・コレクター

ローカルおよびリモートのログ・ソースからイベントを収集します。生のログ・ソース・イベントを正規化します。このプロセスでは、JSAコンソールのMagistrateコンポーネントがログ・ソースからイベントを調べ、イベントをJSA識別子(QID)にマップします。次に、Event Collector は、システム使用量を節約するために同一のイベントをバンドルし、その情報を Event Processor に送信します。

JSAイベントプロセッサ

1 つ以上の Event Collector コンポーネントから収集されたイベントを処理します。イベント・プロセッサは、JSA製品からの情報を相関させ、イベントのタイプに応じて適切な領域に情報を配布します。イベント・プロセッサーは、デプロイメントにイベント・コレクターがない場合にもイベントを収集できます。

イベント・プロセッサには、イベントの動作変更やポリシー違反を示すためにJSA製品によって収集される情報も含まれます。完了すると、イベント プロセッサはイベントを Magistrate コンポーネントに送信します。

イベントプロセッサーを追加する場合: 別の国や州でイベントを収集して保存する場合は、現地のデータ収集法に準拠するためにイベントプロセッサーを追加する必要がある場合があります。

データノード

データノードを使用すると、新規および既存のJSA導入で、必要に応じてストレージと処理能力をオンデマンドで追加できます。データ メモは、より多くのデータを圧縮せずに保持できるようにすることで、展開の検索速度を向上させます。

データ収集とは無関係にストレージと処理能力を拡張できるため、適切なストレージと処理能力を持つデプロイメントが得られます。データノードはプラグアンドプレイであり、いつでもデプロイに追加できます。データノードは、既存の導入とシームレスに統合されます。

デプロイでデータ量が増えると、より早くデータ圧縮が必要になります。データ圧縮は、分析を可能にする前にシステムがクエリーされたデータを解凍する必要があるため、システムのパフォーマンスを低下させます。データノードアプライアンスをデプロイに追加すると、データをより長く非圧縮のままにしておくことができます。

データノードの詳細については、「 データノード情報」を参照してください。