Configurer ECAT pour recevoir des feeds RSA Live

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by Scott Marcus on Apr 27, 2017
Version 2Show Document
  • View in full screen mode
  

RSA ECAT 4.0 et toute version ultérieure peuvent être configurés pour recevoir des feeds provenant de RSA Live. Plusieurs feeds de RSA Live contiennent des domaines et des adresses IP suspects, et plusieurs indicateurs instantanés de compromission définis dans ECAT peuvent bénéficier de ces feeds du point de vue des renseignements. Aucun de ces feeds n'est activé par défaut dans ECAT. Lorsqu'un feed est activé, le serveur de console ECAT se connecte à RSA Live https://cms.netwitness.com et télécharge périodiquement les données des feeds vers le système ECAT.

Remarque :
• ECAT ne publie aucune source dans RSA Live. Il s'agit uniquement d'un consommateur de feeds.
• La procédure de configuration de RSA ECAT pour recevoir les feeds RSA Live est différente pour ECAT version 4.0 et ECAT version 4.1. Nous avons inclus des instructions pour les deux versions.

Conditions préalables

Cette intégration requiert ce qui suit :

  • L'installation de la version 4.0 ou ultérieure de l'interface utilisateur ECAT et de la version 10.6 du serveur Security Analytics.
  • Un compte RSA Live, pour lequel vous pouvez obtenir un nom d'utilisateur et un mot de passe à partir de RSA Support.
  • Le serveur de console ECAT doit se connecter à https://cms.netwitness.com.

Activer ou désactiver les feeds

Pour ECAT version 4.0

  1. Ouvrez l'interface utilisateur ECAT et connectez-vous en utilisant les informations d'identification adéquates.
  2. Dans la barre de menus située en haut de la page, sélectionnez Base de données > Importer les checksums.
    La boîte de dialogue Importer les checksums s'affiche.
  3. Sélectionnez l'onglet RSA Live , puis le sous-onglet Paramètres.
  4. Remplissez les détails du serveur RSA Live et les informations d'identification.
    La valeur de l'hôte est généralement cms.netwitness.com.
    Le port est habituellement le 443.
  5. Pour valider la connectivité, cliquez sur Tester la connexion.
    Un message Passed s'affiche si tous les paramètres sont corrects.
  6. Cliquez sur Apply.
  7. Sélectionnez le sous-onglet Feeds abonnés.
    Une liste des feeds s'affiche.
  8. Sélectionnez les feeds que vous souhaitez que ECAT importe à partir de RSA Live.
  9. Saisissez un intervalle approprié. Le temps recommandé est de 24 heures, ce qui configure ECAT pour se connecter à RSA Live toutes les 24 heures afin de mettre à jour les données importées.
  10. (Facultatif) Cliquez sur Actualiser maintenant pour télécharger les feeds immédiatement.
  11. Cliquez sur Save.

Pour afficher l'état des domaines et des adresses IP incorrects, connus et importés, issus de différents feeds, sélectionnez l'onglet État puis le feed. Le nombre d'entrées par feed varie de quelques centaines à plusieurs milliers.

Pour ECAT version 4.1

  1. Créez un utilisateur SQL avec les informations d'identification dans ECAT :
    1. Ouvrez l'interface utilisateur ECAT et connectez-vous en utilisant les informations d'identification adéquates.
    2. Cliquez sur Configurer >Gérer les utilisateurs et les rôles.
    3. Dans Sécurité, cliquez avec le bouton droit dans le volet, puis sélectionnez Créer un nouvel utilisateur SQL.
    4. Fournissez le nom de connexion et le mot de passe.
  2. Dans la barre de menus située en haut de la page, sélectionnez Configurer > Composants de surveillance et externes.
  3. La fenêtre Configuration des composants externes s'affiche. Sélectionnez RSA Live, puis cliquez sur +.
    ext-comp-config.png
  4. La boîte de dialogue RSA Live apparaît.
    ext-comp-live.png
  5. Sous RSA Live, dans Sur, saisissez un nom pour identifier ce composant.
  6. Dans Paramètres RSA Live, effectuez ce qui suit.
    1. Dans les champs Nom d'utilisateur et Mot de passe, saisissez les informations d’identification pour accéder à ce composant.
    2. Dans Nom d'hôte/IP du serveur, la valeur par défaut est cms.netwitness.com. Si nécessaire, mettez à jour le champ.
    3. Dans Port, saisissez le numéro de port par défaut 443. Si nécessaire, mettez à jour le champ.
  7. Dans Feeds abonnés RSA Live, procédez comme suit.
    1. Dans Actualiser l'intervalle, saisissez un intervalle approprié. L'intervalle recommandé est 24 heures, ce qui signifie que ECAT se connecte à RSA Live toutes les 24 heures afin de mettre à jour les données importées.
    2. Sélectionnez les feeds que vous souhaitez que ECAT importe à partir de RSA Live.
  8. Cliquez sur Enregistrer.
    Le composant RSA Live est ajouté à ECAT et les feeds sont activés.
  9. Pour valider la connectivité, sélectionnez le composant nouvellement ajouté, puis cliquez sur Paramètres de test.
    Si tous les paramètres sont corrects, un message de réussite s'affiche.

Feeds RSA Live pour ECAT 4.0 et version ultérieure

                                                                                                           
Nom du feedDescription :
Adresses IP RSA FraudActionCe feed contient des adresses IP issues du feed RSA FraudAction.
Domaines RSA FraudActionCe feed contient des domaines issus du feed RSA FraudAction.
Réputation d'adresses IP RSA FirstWatchCe feed contient des adresses IP qui sont connues pour être compromises.
Adresses IP VPN criminelles RSA FirstWatchCe feed contient des adresses IP qui représentent des nœuds d'entrée VPN connus pour les services d'anonymisation criminels.
Adresses IP de sortie VPN criminelles RSA FirstWatchCe feed contient des adresses IP qui représentent des nœuds de sortie VPN connus pour les services d'anonymisation criminels.
Adresses IP de menaces APT RSA FirstWatchCe feed contient des adresses IP connues pour être associées à des APT.
Adresses IP d'attaques RSA FirstWatchCe feed contient des adresses IP connues pour être associées à la transmission de programmes malveillants.
Adresses IP de commande et contrôle RSA FirstWatchCe feed contient des adresses IP connues pour être associées à la commande et au contrôle des programmes malveillants.
Domaines de menaces APT RSA FirstWatchCe feed contient des domaines connus pour être associés à des APT.
Domaines de commande et contrôle RSA FirstWatchCe feed contient des domaines connus pour être associés à la commande et au contrôle de programmes malveillants.
Adresses IP de nœuds SOCKS criminelles RSA FirstWatchCe feed contient des adresses IP qui représentent des nœuds SOCKS connus pour les services d'anonymisation criminels.
Domaines d'indicateurs de domaines IDefenseLes services de renseignements de sécurité Verisign idefense donne accès aux responsables de la sécurité des informations à une intelligence cybernétique précise et concrète liée aux vulnérabilités,  au code malveillant et aux menaces mondiales, 24 heures par jour et 7 jours par semaine. Les recommandations de l'analyse en profondeur, de la connaissance et des réponses de Verisign idefense aident à garder les entreprises et les organismes gouvernementaux en avance sur les menaces et les vulnérabilités nouvelles et en évolution.
Plages d'adresses IP Spamhaus DROPDROP (Don't Route Or Peer) et EDROP sont des listes consultatives du trafic, composées de netblocks piratés et contrôlés entièrement par des criminels et des inondeurs professionnels.
Liste de domaines de programmes malveillantsListe des domaines souvent associés à des programmes malveillants provenant de www.malwaredomainlist.com
SpyEye Domain TrackerSpyEye domain tracker est une liste de noms de domaine de commande & contrôle SpyEye (également connu sous le nom zbot, prg, wsnpoem, gorhax et Kneber). SpyEye tracker a suivi plus de 2 800 serveurs de commande & contrôle SpyEye malveillants. SpyEye se propage principalement par l'intermédiaire de téléchargements à l'insu de l'utilisateur et de phishing.
Adresses IP d'utilisateurs socks criminelles RSA FirstWatchCe feed contient les adresses IP qui ont été observées en utilisant les services d'anonymisation criminels.
Nœuds de sortie TorCe feed contient les adresses IP qui sont répertoriées comme nœuds de sortie actifs pour le réseau Tor.
Nœuds TorCe feed contient les adresses IP qui sont répertoriées comme nœuds actifs dans le réseau Tor.
Domaines de programmes malveillantsListe des domaines associés à des programmes malveillants provenant de www.malwaredomainlist.com
Liste d'adresses IP de programmes malveillantsListe des adresses IP souvent associées à des programmes malveillants provenant de www.malwaredomainlist.com
You are here

Table of Contents > Configurer ECAT pour recevoir des feeds RSA Live

Attachments

    Outcomes