JSAのコンポーネント

メモ：

展開内のすべてのJSAアプライアンスのソフトウェアバージョンは、同じバージョンおよびパッチレベルである必要があります。異なるバージョンのソフトウェアを使用する展開はサポートされていません。

JSA の展開には、次のコンポーネントを含めることができます。

JSAフロープロセッサ

スパンポートまたはネットワークタップを介してネットワークからのトラフィックフローを受動的に収集します。JSA フロープロセッサは、NetFlow などの外部フローベースのデータソースの収集もサポートしています。

JSAコンソール

JSA 製品のユーザー インターフェイスを提供します。このインターフェイスは、リアルタイムのイベントとフローの表示、レポート、攻撃、資産情報、および管理機能を提供します。

分散型JSAデプロイメントでは、JSAコンソールを使用して、他のコンポーネントを含むホストを管理します。

奉行

JSAコンソールで実行されるサービスである治安判事は、コア処理コンポーネントを提供します。デプロイごとに 1 つの Magistrate コンポーネントを追加できます。治安判事は、ネットワークトラフィックとセキュリティイベントのビュー、レポート、アラート、および分析を提供します。

治安判事コンポーネントは、カスタムルールに対してイベントを処理します。イベントがルールに一致する場合、治安判事コンポーネントはカスタムルールで設定された応答を生成します。

たとえば、カスタムルールは、イベントがルールに一致するとオフェンスが作成されることを示す場合があります。カスタムルールに一致するものがない場合、Magistrateコンポーネントはデフォルトのルールを使用してイベントを処理します。オフェンスは、複数の入力、個々のイベント、および分析された動作と脆弱性と組み合わされたイベントを使用して処理されるアラートです。治安判事コンポーネントは、犯罪に優先順位を付け、イベントの数、重大度、関連性、信頼性など、いくつかの要因に基づいてマグニチュード値を割り当てます。

JSAイベントコレクター

ローカルおよびリモートのログ・ソースからイベントを収集します。未加工のログ・ソース・イベントを正規化します。このプロセスでは、JSAコンソールの治安判事コンポーネントがログ・ソースからのイベントを調べ、そのイベントをJSA識別子(QID)にマッピングします。次に、イベント・コレクターは、システムの使用状況を節約するために同一のイベントをバンドルし、その情報をイベント・プロセッサーに送信します。

JSA イベント プロセッサ

1 つ以上のイベント コレクター コンポーネントから収集されたイベントを処理します。イベント処理プログラムは、JSA 製品からの情報を相互に関連付け、イベントのタイプに応じて適切な領域に情報を配布します。イベント プロセッサは、配置にイベント コレクターがない場合にもイベントを収集できます。

イベント・プロセッサーには、イベントの動作変更またはポリシー違反を示すために JSA 製品によって収集される情報も含まれます。完了すると、イベント プロセッサはイベントを治安判事コンポーネントに送信します。

イベント・プロセッサーを追加する状況: 別の国または州でイベントを収集および保管する場合は、現地のデータ収集法に準拠するためにイベント・プロセッサーの追加が必要になることがあります。

データノード

データノードを使用すると、新規および既存のJSAデプロイメントで、必要に応じてストレージと処理能力をオンデマンドで追加できます。データメモを使用すると、より多くのデータを圧縮せずに保持できるため、展開での検索速度が向上します。

データ収集とは無関係にストレージと処理能力をスケーリングできるため、適切なストレージと処理能力を備えたデプロイが可能になります。データノードはプラグアンドプレイで、いつでもデプロイメントに追加できます。データノードは、既存のデプロイメントとシームレスに統合されます。

展開でデータ量を増やすには、より早くデータ圧縮が必要です。データ圧縮では、分析が可能になる前にクエリ済みデータを解凍する必要があるため、システムのパフォーマンスが低下します。データノードアプライアンスをデプロイに追加すると、データを圧縮されていない状態をより長く保つことができます。

データノードの詳細については、「 データノードの概要」を参照してください。