Intégration de RSA ECAT

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Les clients RSA qui utilisent à la fois RSA ECAT version 4.0 et ultérieure et RSA Security Analytics version 10.4 et ultérieure, peuvent intégrer ECAT et Security Analytics de plusieurs manières différentes. Ce guide concerne Security Analytics version 10.6 et ultérieure.

Options d’intégration

Recherche de point de terminaison intégrée

Avec l'interface utilisateur RSA ECAT installée sur la même machine que le navigateur utilisé par l'analyste pour accéder à Security Analytics, la recherche de point de terminaison intégrée à partir de Security Analytics Investigation et Security Analytics Incident Management fournit un accès par clic droit au serveur de la console ECAT pour les clés méta suivantes : adresse IP (ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip), host (alias-host, domain.dst), client et file-hash. Elles sont décrites dans la section Lancer la recherche externe d'une clé méta dans Investigation et Malware Analysis et dans la section Vue Alertes dans Gestion des incidents.

Aucune configuration Security Analytics n'est requise pour la recherche de point de terminaison lorsque vous utilisez l'un des analyseurs intégrés RSA ECAT ou CEF, et que vous n'avez pas personnalisé les clés méta par défaut utilisées lors du chargement des métadonnées dans Investigation. Consultez la section Gérer et appliquer des clés méta par défaut dans une procédure d'enquête dans Investigation et Malware Analysis.

Remarque : L'exception se produit si vous personnalisez Security Analytics en modifiant le paramètre d'affichage pour les clés méta par défaut dans Investigation, si vous ajoutez les clés méta au fichier table-map-custom.xml,  ou si vous personnalisez les feeds RSA ECAT. Un certain degré de configuration est nécessaire pour ajouter les clés méta personnalisées au menu contextuel Recherche ECAT dans Administration > vue Système, comme décrit dans la section Actions du menu Ajouter un contexte personnalisé dans le guide Configuration système.

Intégrations supplémentaires

Avec le serveur de console RSA ECAT version 4.0 ou ultérieure installé sur un hôte Windows et la configuration appropriée de ECAT et Security Analytics par un administrateur, quatre autres intégrations des donnés d'analyse  ECAT sont possibles, comme le décrivent les flèches rouges ci-dessous.

Les intégrations RSA ECAT possibles avec Security Analytics comprennent :

  • Alertes ECAT via syslog (CEF)dans les services RSA Security Analytics Log Decoder. Cette intégration offre la possibilité d'appliquer Live Intelligence aux alertes ECAT et de corréler des événements ECAT avec d'autres métadonnées de logs ou paquets dans l'écosystème Security Analytics (consultez la section Configurer des alertes ECAT via Syslog dans un Log Decoder).
  • Alertes ECAT via le bus de messagesdans Security Analytics Incident Management. Cette intégration fournit la fonction de gestion des incidents et de workflow centralisés dans Security Analytics (consultez la section Configurer les sources d'alertes pour afficher les alertes de gestion des incidents dans le Guide de configuration d'Incident Management).
  • Données contextuelles ECAT via un feed récurrent Security Analytics Live. Cette intégration peut enrichir la session affichée dans Security Analytics Investigation avec des informations contextuelles ; comme le système d'exploitation hôte, l'adresse MAC, le score et d'autres données qui peuvent ne pas être présentes dans les données du log ou du paquet (consultez la rubrique Configurer des données contextuelles à partir d'ECAT via un feed récurrent).
  • Feeds RSA Live dans ECAT version 4.0 et ultérieure. Cette intégration peut enrichir les indicateurs de compromission ECAT instantanés en utilisant plusieurs feeds dans RSA Live qui contiennent des domaines et des adresses IP suspects. Les indicateurs de compromission instantanés ECAT peuvent bénéficier de ces feeds du point de vue des renseignements. ECAT 4.0 ne publie aucune source dans RSA Live (voir Configurer ECAT pour recevoir des feeds RSA Live).

Alertes et indicateurs de compromission ECAT

Un indicateur de compromission ECAT est une requête de base de données qui exécute RSA ECAT sur des données d'analyse ECAT collectées pour déterminer la présence de logiciels malveillants potentiels sur des hôtes analysés. RSA ECAT version 4.0 et ultérieure est livré avec des indicateurs de compromission que l'utilisateur peut activer et marquer comme pouvant être alertés. RSA ECAT exécute les requêtes des indicateurs de compromission régulièrement sur les nouvelles données d'analyse, qui sont collectées et stockées dans la base de données. Si la requête de l'indicateur de compromission est satisfaite, cela indique un indicateur potentiel de compromission, et l'événement peut être signalé à un utilisateur ou envoyé à un système externe comme une alerte.

Voici les types possibles d'alerte :

  • Alerte de machine : Cette alerte indique que la machine en question est suspecte.
  • Alerte de module : Cette alerte indique qu'un module, tel qu'un fichier, une dll ou un exécutable, est suspect. Elle contient des détails sur le module en question.
  • Alerte IP : Cette alerte indique qu'il y a eu une activité Internet suspecte (trafic).
  • Alerte d'événement : Cette alerte représente toute autre activité suspecte détectée par ECAT qui n'entre pas dans les catégories énoncées ci-dessus.

Chacun de ces types d'alerte peut être associé et envoyé à Security Analytics.

 

 

Topics

You are here
Table of Contents > Intégration de RSA ECAT

Attachments

    Outcomes