MA : Configurer l'environnement d’exploitation de Malware Analysis

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique décrit les procédures de configuration de l'environnement d'exploitation de Security Analytics pour une connexion à un service Security Analytics Malware Analysis. Security Analytics Malware Analysis peut fonctionner en tant que service colocalisé sur un serveur Security Analytics ou en tant que service sur une appliance Malware Analysis dédiée. Si votre site utilise une appliance dédiée, effectuez l'une des actions suivantes :

  • Si votre site ajoute une nouvelle appliance Security Analytics Malware Analysis dédiée, installez l’appliance physique Security Analytics Malware Analysis sur votre réseau et configurez l’environnement d’exploitation.
  • Si votre site met à niveau une appliance Spectrum dédiée vers une appliance Security Analytics Malware Analysis dédiée, créez une nouvelle image de l’appliance Spectrum en tant qu’une appliance Security Analytics Malware Analysis.

Le fonctionnement de Security Analytics Malware Analysis dépend de l’infrastructure principale. Les étapes suivantes sont nécessaires avant que Security Analytics Malware Analysis ne puisse analyser les données correctement.

  1. Configurez le Broker intégré sur l’appliance Malware Analysis pour connecter un autre Broker ou Concentrator dans l’infrastructure de base Security Analytics existante.

Remarque : En l'absence d'une infrastructure Core, seuls les fichiers téléchargés manuellement peuvent être analysés.

  1. Utilisez Security Analytics Live pour rechercher toutes les ressources Live avec la balise malware analysis et déployer ces ressources sur chaque service Decoder qui capturera le trafic à analyse par Security Analytics Malware Analysis. Security Analytics utilise cet ensemble d'analyseurs et de feeds exclusifs pour rechercher des événements qui sont probablement des programmes malveillants.
  2. Configurez les ports de communication. Security Analytics Malware Analysis requiert l'ouverture d'un nombre de ports de communication différents, notamment le port TCP/443 pour HTTPS. Ils sont décrits ci-dessous dans la rubrique Connexions réseau.
  3. Configurez la source NextGen à laquelle se connectera Security Analytics Malware Analysis. Il s’agit du Broker ou Concentrator.
    Security Analytics Malware Analysis est désormais prêt à commencer à analyser le trafic réseau.

Connexions réseau

Les connexions réseau entrantes et sortantes doivent être configurées pour que l'appliance Malware Analysis puisse communiquer correctement avec les services et les sources RSA afin de recevoir les mises à jour logicielles et d'autres informations critiques.

Le pare-feu de votre réseau doit être configuré pour permettre à Malware Analysis d'accéder à Internet. Les serveurs proxy peuvent être utilisés pour faciliter ces connexions, le cas échéant.

Connexions entrantes

TCP/22 - Accès SSH (Secure Shell) au serveur Security Analytics Malware Analysis pour examiner les fichiers logs et effectuer les corrections nécessaires. L'accès peut être limité aux adresses IP qui gèrent Security Analytics Malware Analysis.

  • TCP/443 - Connexion Web HTTPS pour accéder à l’interface utilisateur de Security Analytics Malware Analysis.
  • TCP/50008 - Port JMX pour résoudre les problèmes de performances, en utilisant une application telle que JVisualVM. (Facultatif) L'accès peut être limité aux adresses IP qui gèrent Security Analytics Malware Analysis.

Connexions sortantes

  • TCP/443 - Connexions HTTPS aux serveurs Web SSL. Certaines fonctionnalités Security Analytics Malware Analysis permettent d'envoyer des fichiers ou des documents vers des serveurs pour analyse, ce qui requiert une connexion sécurisée. L'utilisation d'un server proxy Web est prise en charge.
  • TCP/443 - Connexion SSL à partir de Security Analytics Malware Analysis vers le Cloud RSA. L'utilisation d'un serveur proxy SOCKS est prise en charge. Il peut être nécessaire de modifier l'infrastructure cliente pour que le port 443 soit ouvert sur cloud.netwitness.com.)
  • TCP/50103 - Port API REST utilisé pour communiquer avec un Broker. (Security Analytics 10.3.x et versions antérieures)
  • TCP/50105 - Port API REST utilisé pour communiquer avec un Concentrator. (Security Analytics 10.3.x et versions antérieures)
  • TCP/50003 TCP/56003 - Ports permettant de communiquer avec un service Broker. (Security Analytics 10.4 et versions supérieures)
  • TCP/50005 TCP/56005 - Ports permettant de communiquer avec un service Concentrator. (Security Analytics 10.4 et versions supérieures)
  • ICMP - Connexion JMS entre Security Analytics et le service Malware Analysis pour vérifier si le nom d'hôte et l'adresse IP saisis sont valides et que la connexion de test soit établie.
Previous Topic:Configuration basique
You are here
Table of Contents > Configuration basique > Configurer l'environnement d’exploitation de Malware Analysis

Attachments

    Outcomes