Context Hub : Configurer RSA ECAT en tant que source de données

Document created by RSA Information Design and Development on Feb 3, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit la procédure permettant de configurer ECAT en tant que source de données pour Context Hub. 

Pour utiliser le service Context Hub afin qu'il récupère des informations contextuelles à partir d'ECAT, vous devez configurer ECAT en tant que source de données pour Context Hub. Utilisez les procédures de cette rubrique pour ajouter ECAT en tant que source de données pour le service Context Hub et configurer les réponses (si nécessaire) pour ECAT. 

Les réponses sont différents types d'informations contextuelles disponibles pour une source de données. La configuration de ces réponses pour la source ECAT contrôle ce qui apparaît dans le panneau Recherche contextuelle qui s'affiche dans les vues Investigation lorsqu'une recherche contextuelle est réalisée. Les types de réponses pour la source de données ECAT sont les machines, les modules et les indicateurs de compromission (IOC) instantanés

Les réponses pour chaque source de données sont déjà configurées avec des valeurs par défaut afin d'optimiser la performance. Vous pouvez afficher ou modifier les valeurs par défaut en utilisant la procédure de cette rubrique.

Conditions préalables

Assurez-vous que :

  • le service Context Hub est activé et qu'il est disponible dans Administration > vue Services de Security Analytics.
  • RSA ECAT (v4.1.1 et supérieure) est installé et configuré.
    Les documents RSA ECAT 4.1.1 donnent des informations détaillées sur l'installation et la configuration d'ECAT. Reportez-vous aux documents ECAT disponibles dans https://knowledge.rsasecurity.com.

Procédures

 

Ajouter une source de données RSA ECAT

 

 

Pour ajouter RSA ECAT en tant que source de données pour Context Hub :

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
    La vue Services s'affiche.
  2. Dans le panneau Services, sélectionnez le service Context Hub, puis ic-actns.png > Vue > Configuration.
    La vue Configuration des services s'affiche.
  3. Sous l'onglet Sources de données, cliquez sur Icon.png > ECAT
    La boîte de dialogue Ajouter une source de données s'affiche.
    F-Add-ecat-ds.png
  4. Fournissez les informations suivantes :

                                                   
    ChampDescription :
    ActiverSélectionnez Activer pour activer la source de données ECAT. Cette option est activée par défaut (cochée).
    NameDonnez un nom à la source de données ECAT.
    HôteSaisissez le nom d'hôte ou adresse IP où le serveur ECAT API est installé.
    PortLe port par défaut est 9443.
    Version APILa version API par défaut (/api/v2) prend en charge la connexion à ECAT 4.1.1 et versions ultérieures
    SSLSélectionnez SSL si vous souhaitez que Security Analytics communique avec l'hôte via SSL. Cette option est activée par défaut.
    UsernameSaisissez le nom d'utilisateur du serveur ECAT API.
    Mot de passeSaisissez le mot de passe du serveur ECAT API.
    Nbre max. Requêtes simultanéesVous pouvez configurer le nombre maximum de requêtes simultanées définies par le service Context Hub à exécuter sur les sources de données configurées. La valeur par défaut est 25.
  5. Cliquez sur Tester la connexion pour tester la connexion entre Context Hub et la source de données ECAT.
  6. Cliquez sur Enregistrer pour enregistrer les paramètres.
    ECAT est ajouté en tant que source de données pour Context Hub. La source de données ECAT s'affiche dans l'onglet Sources de données.
    F-DS-tab.png
 

Modifier le mot de passe administrateur ECAT

L'administrateur du serveur API assigne les rôles et autorisations aux nouveaux utilisateurs. L’utilisateur administrateur n’est pas créé par
par défaut au moment de l’installation.

Le nom d'utilisateur et mot de passe de l'administrateur ECAT sont les suivants :

  • Nom d’utilisateur : admin
  • Mot de passe : il doit être défini à l'aide de la commande suivante :
    ApiServer.exe /setadminpswd A_Strong_Password

Après avoir défini le mot de passe, redémarrez le serveur.

Pour plus d'informations sur le serveur RSA ECAT REST API, reportez-vous aux documents ECAT documents disponibles à l'adresse https://knowledge.rsasecurity.com.

Configurer les réponses pour la source de données ECAT

Pour afficher/modifier les réponses pour la source de données ECAT :

  1. Dans l'onglet Sources de données, sélectionnez la source ECAT et cliquez sur ic-actns2.png.
    La boîte de dialogue Configurer les réponses ECAT s'affiche.
    F-Conf-ecat-resp.png
  2. Dans le panneau de gauche, sélectionnez chaque réponse (machines, modules et indicateurs de compromission instantanés) pour afficher et modifier les paramètres.
  3. Configurez les champs suivants :

                               
    ChampDescription :
    ActiverCette option est désactivée par défaut (cochée) et peut être utilisée pour activer ou désactiver la réponse sélectionnée.
    Utiliser le cacheCochez la case pour activer le cache de réponse. Lorsqu'elle est activée, Context Hub stocke les résultats de recherche dans le cache. Les demandes suivantes pour la même valeur méta sont gérées à partir du cache pour la durée configurée (Expiration du cache).
    Expiration du cachePériode (en minutes) pendant laquelle les résultats de la recherche sont stockés dans le cache après l'exécution de la recherche contextuelle. La valeur par défaut est 30 minutes.

    Valeur IIOC minimale (pour les modules uniquement)

    Score minimum de l'indicateur de compromission instantané (IIOC) permettant d'extraire les informations contextuelles des modules ECAT. Les informations contextuelles des modules ECAT ayant une valeur IIOC supérieure ou égale à la valeur minimale configurée sont extraites.

    Le score IIOC pour les modules ECAT est compris entre 0 et 1024, où 1024 est considéré comme critique.

    Par défaut, le score IIOC minimum est défini sur 500

  4. Cliquez sur Enregistrer pour enregistrer vos modifications.

Étapes suivantes 

Après avoir terminé la configuration, vous pouvez utiliser l'option Recherche contextuelle dans la vue Examiner > Naviguer ou la vue Investigation > Événements pour récupérer des informations contextuelles. Pour savoir comment procéder, consultez la section Afficher un contexte supplémentaire pour un point de données dans le Guide Investigation et Malware Analysis.

You are here
Table of Contents > Configuration basique > Étape 2. Configurer des sources de données pour Context Hub > Configurer RSA ECAT en tant que source de données pour Context Hub

Attachments

    Outcomes