RSA NetWiness Suite는 완벽한 상황 파악 기능을 제공하여 보안 인시던트를 신속하게 탐지 및 조사하고 이에 대응할 수 있도록 지원합니다. RSA NetWitness Suite는 위협 요소와 관계없이 보안 위협을 기장 신속하게 파악할 수 있는 보안 위협 탐지 및 대응 기능을 제공하는 강력한 모듈식 솔루션입니다.
RSA NetWitness Logs & Packets는 IT인프라 전반에 대한 가시성을 제공하여 보다 빠르고 정확하게 보안 사고에 대한 탐지, 조사 및 대응을 수행합니다. 로그와 네트워크 패킷 데이터를 실시간으로 수집한 후 이벤트 상관분석 모델을 사용하여 공격자가 피해를 주기 전에 보안 위협을 탐지하고 인식합니다.
| 구성요소 | 설명 |
|---|---|
| RSA NetWitness Server | 웹 UI 및 관리 서버, 기본 사용자 인터페이스 |
| Decoder | 원시 데이터를 캡처 및 저장합니다. Decoder는 Logs & Packets 고유의 구성 요소이며, 원시 데이터에 대한 메타데이터를 생성하고 보안 컨텍스트로 보강합니다. |
| Concentrator | 원시 데이터 캡처의 빠른 쿼리 및 검색을 위해 메타데이터를 저장하고 인덱싱합니다. |
| Hybrid | Decoder와 Concentrator를 단일 어플라이언스로 결합한 구성 요소입니다. |
| Broker | 여러 사이트에 구축된 Concentrator의 데이터를 집합하여 쿼리 및 검색합니다. |
| Event Stream Analysis (ESA) | 로그, 패킷, 엔드포인트, NetFlow의 상관 관계를 실시간으로 파악 및 분석하는 엔진입니다. |
| Archiver | 규정 준수를 위해 로그 데이터를 장기간 보존하고 압축합니다. |
| Virtual Log Collector (VLC) | 원격에서 Decoder로 로그를 전달하기 위한 로그 콜렉터의 가상 인스턴스입니다. |
| 사양 | Hybrid (Decoder+Concentrator) |
ESA (Event Stream Analysis) |
핵심구성요소 (SA Server, Decoder, Concentrator, Archiver) |
|---|---|---|---|
| 프로세서 유형 | 2 * Intel Xeon Gold 6132 2.6G |
2 * Intel Xeon Gold 6126 2.6G |
2 * Intel Xeon Gold 6134 3.2G |
| 총메모리 | 4 * 32GB | 8 * 32GB | 4 * 32GB |
| 드라이브 | 총 드라이브 수 - 14개 - 4 x 2TB NL-SAS - 8 x 8TB NL-SAS - 2 x 1.6TB SSD |
총 드라이브 수 - 6개 - 2 x 1TB NL-SAS - 4 x 2.4TB 10K SAS |
총 드라이브 수 - 4개 - 2 x 1TB NL-SAS - 2 x 2TB NL-SAS |
| 크기 | 2U | 1U | 1U |
| 무게 | 33.1 kg (72.91 lbs) | 21.9kg (48.28 lbs) | 21.9kg (48.28 lbs) |
| NIC | Intel X710 DP 10Gb DA/SFP+, + I350 DP 1Gb Ethernet |
Intel X710 DP 10Gb DA/SFP+, + 1350 DP 1Gb Ethernet |
Intel X710 DP 10Gb DA/SFP+, + 1350 DP 1Gb Ethernet |
| 규격 | H: 482.0 mm (18.98 in) W: 751.34 mm (29.58 in) D: 86.8 mm (3.42 in) |
H: 42.8 mm (1.68 in) W: 482.0 mm (18.97 in) D: 808.51 mm (31.83 in) |
H: 42.8 mm (1.68 in) W: 482.0 mm (18.97 in) D: 808.51 mm (31.83 in) |
| 전원 | 1100W 이중화 | 1100W 이중화 | 1100W 이중화 |
RSA NetWitness Endpoint는 실시간 메모리 분석 및 상태진단과 같은 심층적인 기술을 이용하여 엔드포인드의 보안 위협을 파악할 수 있습니다. 또한 RSA NetWitness Endpoint는 RSA NetWitness Logs & Packets 와 완벽하게 통합되어 네트워크와 엔드포인트 모두를 위한 통합 솔루션으로 사용할 수 있습니다.
| 구성요소 | 설명 | 참고 |
|---|---|---|
| RSA NetWitness Endpoint Agent | 엔드포인트(ex. 서버, 노트북 데스크탑 등)에 상주하는 SW에이전트 | 지원 OS 버전 Windows(XP, Vista 7, 8, 10) Windows Server (2003 SP2 2008, 2008 R2, 2012, 2012 R2) Mac OS X(10.8, 10.9, 10.10) |
| RSA NetWitness Endpoint Server | 관리 콘솔을 통해 에이전트를 제어하고 통신하는데 사용되는 서버 | MS SQL Server 필요 지원 MS SQL 버전 MS SQL Server 2008 R2 MS SQL Server 2012 |
| RAR(Roaming Agents Relay) | RAR 은 기업 네트워크와 연결이 끊어진 엔드포인트를 파악하고 이 엔드포인드와 통신하는 서버(옵션)입니다. | 클라우드 서비스로 구축할 수 있습니다. |
| RSA Live | RSA FirstWatch와 보안 커뮤니티에서 가장 신뢰하고 믿을 수 있는 공급업체의 인텔리전스 피드를 제공하는 시스템입니다. | RSA Live 계정이 필요합니다. |
| File Reputation Service | 실시간으로 업데이트되는 대규모 화이트리스트 데이터베이스에 액세스하여 가장 최신의 파일 검증 정보를 제공합니다. | RSA Live 계정이 필요합니다. |
| OPSWAT Metascan | RSA NetWitness Endpoint에서 지원하는 타사 애플리케이션(옵션)입니다. 이 에플리케이션은 RSA NetWitness Endpoint가 다운로드한 모든 파일을 다양한 바이러스 백신 엔진과 비교하여 검사합니다. | |
| YARA Engine | 오픈소스 YARA 규칙을 활용한 정적분석을 수행하는 구성요소(옵션)입니다. | |
| RSA NetWitness Endpoint REST API Server | 개발자가 RSA NetWitness Endpoint REST API를 수성 및 사용할 수 있게 해주는 구성요소(옵션)입니다. | 기본적으로 RSA NetWitness Endpoint Server와 함께 설치됩니다. JSON 및 XML 데이터 형식을 지원합니다. |
