Configurer Incident Management Étape 3. Configurer des sources d'alertes

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette procédure est requise pour que les alertes provenant des sources d'alerte soient affichées dans lncident Management. Une option vous permet d'activer ou de désactiver les alertes renseignées dans la vue lncident Management. Par défaut, cette option est désactivée dans Reporting Engine, Malware Analytics et ECAT et activée uniquement dans Event Stream Analysis. Ainsi, lorsque vous installez le service Gestion des incidents, vous devez activer cette option dans Reporting Engine, Malware Analytics et ECAT pour renseigner les alertes correspondantes dans la vue Incident Management.

Conditions préalables

Assurez-vous que :

  • Le service Incident Management est installé et en cours d'exécution sur Security Analytics.
  • Une base de données est configurée pour le service Gestion des incidents.
  • ECAT est installé et exécuté.

Configurer Reporting Engine pour afficher les alertes déclenchées par Reporting Engine sous la vue Incident Management

L'affichage des alertes Reporting Engine est désactivé par défaut dans la vue Incident Management. Pour afficher et visualiser les alertes Reporting Engine, vous devez activer les alertes Incident Management dans la vue Configuration des services > onglet Général du Reporting Engine.

  1. Dans le menu Security Analytics, sélectionnez Administration > Services.
  2. Sélectionnez un service Reporting Engine et sélectionnez  > Afficher > Config.
    La vue Configuration des services s'ouvre sur l'onglet Général du Reporting Engine.
  3. Sélectionnez Configuration système.
  4. Activez la case à cocher Transférer des alertes vers IM.
    Reporting Engine transfère immédiatement les alertes vers Incident Management.

Pour plus d'informations sur les paramètres de l'onglet Général, consultez la rubrique Onglet Général du Reporting Engine dans le Guide de Configuration de Reporting Engine.

Configurer Malware Analytics pour afficher les alertes déclenchées par Malware Analytics dans la vue Incident Management

L'affichage des alertes Incident Management est une fonction d'audit de Malware Analysis. La procédure d'activation des alertes de messagerie instantanée est décrite dans la rubrique (Facultatif) Configurer l'auditing sur l'hôte Malware Analysis du Guide de configuration de Malware Analysis.

Configurer ECAT pour afficher les alertes déclenchées par ECAT dans la vue Incident Management

Cette procédure est requise pour intégrer ECAT avec Security Analytics de façon à ce que les alertes ECAT soient relevées par le composant Incident Management de Security Analytics et affichées dans la vue Incident > Alertes.

Remarque : La rubrique Intégration de RSA ECAT du Guide d'intégration de RSA ECAT présente les fonctionnalités d'intégration d'ECAT avec Security Analytics, ainsi que les procédures détaillées de configuration de l'intégration d'ECAT avec Security Analytics via le Bus de messages.

Le diagramme ci-dessous représente le flux d'alertes ECAT vers la file d'attente Incident Management de Security Analytics et son affichage dans la vue Incident > Alertes.

                       ECAT_integration.png

Configurer ECAT pour afficher les alertes ECAT

Pour configurer ECAT pour afficher les alertes ECAT dans l'interface utilisateur Security Analytics :

  1. Dans l'interface utilisateur ECAT, cliquez sur Configurer > Surveillance des composants externes.

    La boîte de dialogue Composants de surveillance et externes s'affiche.

  2. Cliquez avec le bouton droit à l'intérieur de la boîte de dialogue, puis sélectionnez Ajouter un composant.

    La boîte de dialogue Ajouter un composant apparaît.

  3. Fournissez les informations suivantes :

    • Sélectionnez le broker IM pour le type de composant dans les options de la liste déroulante.
    • Saisissez un nom d'utilisateur pour identifier le composant IM Broker.
    • Saisissez le DNS de l'hôte ou l'adresse IP du composant IM Broker.
    • Saisissez le Numéro de port. Le port par défaut est 5671.
  4. Cliquez sur Enregistrer et fermer pour fermer toutes les boîtes de dialogue.
  5. Pour configurer SSL pour les alertes IM, effectuez la procédure suivante sur ECAT pour définir les communications SSL :

    1. Sur le serveur de Console principal ECAT, exportez le certificat de l'autorité de certification au format cer (chaîne codée X.509 Base 64) du magasin de certificats personnel de l'ordinateur local (sans sélectionner la clé privée).
    2. Sur le serveur de Console principal ECAT, générez un certificat client pour ECAT à l'aide du certificat de l'autorité de certification. (Le nom CN doit être défini sur ecat).

      makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "EcatCA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer

    3. Sur le serveur de console primaire ECAT, notez l'empreinte du certificat client généré à l'étape b. Saisissez la valeur d'empreinte du certificat client dans la section IMBrokerClientCertificateThumbprint du fichier ConsoleServer.Exe.Config comme indiqué.

      <add key="IMBrokerClientCertificateThumbprint" value="?896df0efacf0c976d955d5300ba0073383c83abc"/>

    4. Sur le serveur SA, ajoutez le contenu du fichier de certificat de l'autorité de certification ECAT au format .cer (étape a) à /etc/puppet/modules/rabbitmq/files/truststore.pem.
    5. Sur le serveur SA, exécutez l'agent puppet comme illustré (ou patientez 30 minutes pour que le serveur SA s'exécute).

      puppet agent -t

    6. Sur le serveur de console principal ECAT, importez le fichier /var/lib/puppet/ssl/certs/ca.pem du serveur SA vers le magasin Autorités de certification racines de confiance. Ainsi, vous pouvez vérifier que le service ECAT approuvera en tant que client le certificat du serveur de messagerie instantanée.
You are here
Table of Contents > Configurer Incident Management > Étape 3. Configurer les sources d'alertes pour afficher les alertes d'Incident Management

Attachments

    Outcomes