BT

Apache Metronがトップレベルプロジェクトに移行

| 作者: Dylan Raithel フォローする 8 人のフォロワー , 翻訳者 h_yoshida フォローする 1 人のフォロワー 投稿日 2017年7月4日. 推定読書時間: 3 分 |

原文(投稿日:2017/05/18)へのリンク

HortonworksとApacheは、Metronがトップレベルのプロジェクトに移行したことを発表したMertonは、セキュリティ関連のテレメトリデータのキャプチャと、ストリーミングの分析および応答を一体で備えた、最新のプラットフォームである。Ciscoのビッグデータシステムを対象としたオープンソースのセキュリティフレームワークであるOpenSOCプロジェクトを起源とする。Metronは、ログの集約、全パケットのキャプチャとインデックス生成、ストレージ、高度な行動分析、データエンリッチメントなどの機能と、セキュリティテレメトリへの最新の脅威情報の適用を、単一プラットフォームで実現する。

概念的には、Metronは4つのコンポーネントで構成されている。データのキャプチャと取得、リアルタイム処理、データの永続化保証とストレージ、そして監視とリスクに関する警告を行なうラーニングマシン・アズ・ア・サービスだ。

MetronのコアはKappaアーキテクチャである。これは、Apache Kafkaを統一データバス、Apache Stormを処理コンポーネントとして実装された、Lambdaアーキテクチャの一種だ。BroログをKafkaに転送する役割を担うのはBroプラグインである。これを使ってMetronは、パケットの収集と詳細な調査と再構築に必要な情報を獲得するとともに、Kafkaが実現する保証、ビッグデータエコシステムの他部分との統合を活用することができる。

データ収集に関しては、テレメトリデータをMetronのメッセージバスに転送し、Stormを経由してリアルタイムでHBaseに永続化したり、あるいは処理したりすることが可能だ。取得したデータに対しては、検索インデックスの付加、リアルタイムあるいは準リアルタイム処理など、さまざまな選択肢を利用できる。Metronでは、ElasticSearchを備えたHBaseと、LuceneSolrのいずれかに対するインターフェースを提供している。デフォルトの管理およびダッシュボードインターフェースとしてはKibanaが使用されている。

Metronには、最近の標準的なデータパイプラインとは違う、いくつかの機能を備えている。ひとつは、脅威インテリジェンスのトリアージとフィールド変換用の言語であるStellarを通じた、一連のデータ変換ユーティリティとAPIとの統合である。これは、MetronのRESTfulなモデル・アズ・ア・サービス(MaaS)を通じてデプロイおよび実行される機能として動作する。MaaS機能はYamによって管理され、リアルタイムないし準リアルタイムな脅威検出および応答メカニズムとして実装されるように設計されている。また、データエンリッチメント用のツールセットは、さまざまなエンリッチメントおよび脅威インテリジェンスのソースをHBaseデータシンクにロードし、管理する機能を提供する。MaaS経由でデプロイされるマシンラーニングモデルは、このデータエンリッチメントの能力を補強するために使用される。そして最後に、プロファイラ機構が、メッセージバスから入力してHBaseに永続化されるリアルタイムないし準リアルタイムのテレメトリデータに対して、フィーチャの抽出とウィンドウニングを実行する

Owen O'Malley氏がApacheにおける同プロジェクトのリーダとして、OpenSOCからの最初のMetronの移植を担当する。

この記事を評価

採用ステージ
スタイル

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT