Configurer des données contextuelles à partir d'ECAT via un feed récurrent

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette rubrique fournit des instructions permettant de configurer des données RSA ECAT dans Security Analytics pour fournir des données contextuelles ECAT aux sessions Decoder et Log Decoder. Cette configuration ajoute des métavaleurs contextuelles en plus des alertes IOC instantanées qui permettent de créer des corrélations à d'autres métadonnées dans l'écosystème Security Analytics.

Les administrateurs peuvent configurer Security Analytics afin d'utiliser les données contextuelles d'analyse du système ECAT via un feed récurrent Security Analytics Live. Cette intégration peut enrichir la session d'un Decoder ou Log Decoder avec des informations contextuelles affichées dans Security Analytics Investigation. Certains exemples incluent, dans les sessions Decoder ou Log Decoder, le système d'exploitation hôte, l'adresse MAC, le score et bien d'autres données qui peuvent ne pas être présentes dans les données de logs ou de paquets.

Remarque : Bien que cette fonctionnalité soit ciblée pour les clients avec un paquet Decoder, un flux récurrent peut également être mis en œuvre dans les Log Decoders.

Attention : Dans les environnements avec de nombreux hôtes ECAT, l'utilisation de ce feed récurrent peut entraîner une diminution des performances sur les périphériques d'acquisition Security Analytics (Decoder et Log Decoder).

Conditions préalables

  • Serveur de Console version 4.0 ECAT et serveur Security Analytics version 10.4 et supérieure installés.
  • RSA Decoder et Concentrator version 10.4 ou supérieure connectés au serveur Security Analytics sur le réseau.

Configuration

Pour configurer cette intégration :

  1. Activez le feed ECAT pour Security Analytics dans l'interface utilisateur ECAT.
  2. Exportez le certificat de l'autorité de certification ECAT du serveur de Console eCAT et importez-le vers le magasin d'approbations Security Analytics.
  3. Configurez le service Security Analytics Concentrator pour définir les clés méta qui sont indexées.
  4. Créez un feed récurrent dans Security Analytics Live.

Activez le Feed ECAT pour Security Analytics

Pour ECAT version 4.0

  1. Ouvrez l'interface utilisateur ECAT et connectez-vous en utilisant les informations d'identification adéquates.
  2. Dans la barre de menus, sélectionnez Configurer > Composants de surveillance et externes.

    La boîte de dialogue Ajouter des composants s'affiche.

     

  3. Ajouter un composant Security Analytics. Saisissez le nom unique, le DNS de l'hôte ou l'adresse IP, puis cliquez sur Paramètres.

    La boîte de dialogue Configurer Security Analytics s'affiche.

    EcatConfSADialog.png

  4. Renseignez le champ Fuseau horaire et cliquez sur l'onglet Config. feed.

    EcatFeedConfTb.png

  5. Sélectionnez Activer le feed ECAT, puis saisissez le nom d'utilisateur et le mot de passe. Configurez l'intervalle de publication des feeds. Cliquez sur Enregistrer.

    Un feed est créé.

  6. Relevez l'URL attribuée, ainsi que le nom d'utilisateur et le mot de passe. Ces informations sont utilisées dans Security Analytics.
  7. Pour vérifier que le feed a été créé correctement, ouvrez un navigateur et saisissez l'URL. À l’invite, saisissez le nom d’utilisateur et le mot de passe. Vérifiez si un fichier nommé machines.csv est téléchargé.

Pour ECAT version 4.1

Dans l'interface utilisateur ECAT :

  1. Créez un utilisateur SQL dans ECAT :
    1. Ouvrez l'interface utilisateur ECAT et connectez-vous en utilisant les informations d'identification adéquates.
    2. Sous Sécurité, cliquez avec le bouton droit de la souris dans le panneau et sélectionnez Créer un utilisateur SQL.
      La boîte de dialogue Créer un utilisateur SQL s'affiche.
      create-sql-usr.png
    3. Indiquez le nom de connexion et le mot de passe.
  2. Dans la barre de menus, sélectionnez Configurer > Composants de surveillance et externes.
    La boîte de dialogue Configuration des composants externes s'affiche.
    ext-comp-config.png
  3. Dans Security Analytics, cliquez sur +.
    La boîte de dialogue Security Analytics s'affiche.
    sa_ecat.png
  4. Sous Security Analytics, dans Sur, saisissez un nom pour identifier le composant Security Analytics.
  5. Sous Connexion Security Analytics, procédez comme suit :
    1. Dans Nom d'hôte/IP du serveur, saisissez le nom d'hôte ou l'adresse IP du serveur Security Analytics.
    2. Dans Port, saisissez le numéro de port par défaut 443. Si nécessaire, mettez à jour le champ.
  6. Sous Configurer Security Analytics, procédez comme suit :
    1. Dans Fuseau horaire des serveurs, saisissez un fuseau horaire pour le composant.
    2. Dans Identifiant du périphérique, saisissez l'ID du périphérique du Concentrator Security Analytics.
  7. Remarque : Pour trouver l'identifiant du périphérique dans Security Analytics, vous devez rechercher un Concentrator ou un Broker dans Investigation > Naviguer >< Nom du Concentrator ou du Broker>. L'identifiant du périphérique est le numéro figurant dans l'URL après « investigation ». Par exemple, dans l’URL https://<IP address>investigation/319/navigate/values, l’identifiant du périphérique est 319.

    Le champ URI est renseigné lorsque vous cliquez sur Enregistrer.

  8. Dans Optimisation de requête, effectuez les opérations suivantes :
    1. Dans Min, saisissez le nombre de minutes correspondant à la période de requête minimale. Cette valeur sert à augmenter automatiquement la période soumise à Security Analytics. Une requête retourne ainsi une réponse positive si l'heure signalée par l'agent ECAT diffère légèrement de celle de Security Analytics.
    2. Dans Max, saisissez le nombre de minutes pour limiter la période. Cette valeur sert à limiter automatiquement la période soumise à Security Analytics afin que les requêtes ne surchargent pas le serveur Security Analytics.
    3. Dans Ne pas exécuter de requête pour une période supérieure à, saisissez un nombre de jours pour limiter la période de la requête. Saisissez 0 pour ignorer cette fonctionnalité.
  9. Dans Configurer les feeds ECAT pour SA, effectuez les opérations suivantes :
    1. Sélectionnez Activer le feed ECAT.
    2. Saisissez le Nom d'utilisateur et le Mot de passe SQL (configurés à l'étape 1) pour accéder à l'emplacement du feed.
      Le champ URL est renseigné lorsque vous cliquez sur Enregistrer.
    3. Saisissez l'intervalle de temps correspondant à la fréquence à laquelle les feeds sont publiés.
  10. Cliquez sur Enregistrer.
    Un feed est créé.

Exporter le certificat SSL ECAT

Remarque : Cette procédure ne fonctionne que pour Security Analytics 10.5 et version ultérieure, car la prise en charge de Java 8 a été ajoutée pour la version 10.5. Si vous utilisez une version antérieure de Security Analytics, reportez-vous à la version applicable de ce guide.

Pour exporter le certificat de l'autorité de certification ECAT à partir du serveur de Console ECAT et le copier sur l'hôte Security Analytics :

  1. Connectez-vous à la Console ECAT.
  2. Ouvrez MMC.
  3. Ajoutez un composant logiciel enfichable de certificat pour le compte d'ordinateur.
  4. Exportez le certificat nommé EcatCA.
    1. Effectuez l'exportation sans clé privée.
    2. Exportez au format binaire X.509 encodé DER (.CER)).
    3. Nommez-le EcatCA.cer.
  5. Copiez le certificat d’autorité de certification ECAT vers l’hôte Security Analytics :
    scp EcatCA.cer root@<sa-machine>:.
  6. Pour importer le certificat d’autorité de certification dans le magasin d'approbations Security Analytics, procédez comme suit :
    1. Vérifiez la version Java installée sur votre Security Analytics à l’aide de la commande suivante :
      java –version
      La version openjdk s’affiche. Par exemple, openjdk version "1.8.0_71"

    Remarque : La version openjdk peut varier selon la version Security Analytics.

    1. Pour définir le paramètre JDK, accédez au répertoire java. Saisissez les commandes suivantes :
      JDK=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.65-0.b17.el6_7.x86_64/jre/
      $JDK/bin/keytool -import -v -trustcacerts -alias ecatca -file ~/EcatCA.cer -keystore $JDK/lib/security/cacerts -storepass changeit

      Lorsque vous êtes invité à confirmer la mise à jour du certificat, Yes (oui).
  7. Sur l'hôte Security Analytics, modifiez /etc/hosts pour mapper l'adresse IP du serveur de Console ECAT au nom ecatserverexported en ajoutant la ligne suivante au fichier :
    <ip-address-ecat-cs> ecatserverexported
  8. Pour redémarrer Security Analytics, saisissez les commandes suivantes :
    stop jettysrv
    start jettysrv

Configurer la tâche de feed personnalisée récurrente dans Security Analytics

Pour configurer la tâche de feed récurrente dans Security Analytics :

  1. Connectez-vous à Security Analytics et accédez à Live > Feeds.
  2. Sélectionnez Feed personnalisé > Suivant.
  3. Effectuez ce qui suit :
    • Sélectionnez Récurrent.
    • Saisissez un nom, par exemple : EcatFeed.
    • Saisissez l'URL avec le nom d'hôte du serveur Windows sur lequel est installé ECAT :
      • Pour RSA ECAT version 4.0, utilisez l’URL https://<EcatServerHostname>:9443/ext/feed/machines.csv.
      • Pour RSA ECAT version 4.1, utilisez l’URL https://<EcatServerExported>:9443/api/v2/feed/machines.csv.
  4. Activez la case à cocher Authentifié et saisissez le nom d'utilisateur et le mot de passe tels que notés dans Activer le feed ECAT ci-dessus.
  5. Sélectionnez Vérifier pour vérifier que Security Analytics peut atteindre la ressource Web.
  6. Définissez le planning. Cliquez sur Suivant.
    EcatDefineLiveFeed.png
  7. Sous l'onglet Sélectionner des services, sélectionnez le Decoder ou les groupes pour utiliser le feed. Cliquez sur Suivant.
  8. Sous l'onglet Définir des colonnes, saisissez les noms de colonnes comme indiqué dans le tableau ci-dessous et enregistrez le feed.
    EcatDefColLive.png

Le tableau suivant présente les colonnes dans le fichier CSV pour le feed ECAT.

                                                                             
ColonneNameDescriptionNom de colonne dans Security Analytics (nom de clé méta)
1MachineNameNom d'hôte de l'agent Windowsalias.host
2LocalIpAdresse IPv4index
3RemoteIpAdresse IP distante telle qu'elle est vue par le routeurstransaddr
4GatewayIpAdresse IP de la passerellegateway
5MacAddressAdresse MACeth.src
6OperatingSystemSystème d'exploitation utilisé par l'agent WindowsSystème d’exploitation
7AgentIDID d'agent de l'hôte (ID unique attribué à l'agent)client
8ConnectionUTCTimeDernière heure à laquelle l'agent s'est connecté au serveur ECATecat.ctime
9Domaine sourceDomainedomain.src
10ScanUTC timeLa dernière fois que l'agent a été analyséecat.stime
11Note de l'ordinateurScore de l'agent indiquant le niveau suspectrisk.num

Remarque : Dans le tableau, le paramètre d'index recommandé est LocalIp. Toutefois, si le LocalIp pour PC de l’Agent ECAT est alloué par un serveur DHCP et le bail DHCP a expiré, et si l’adresse IP est ensuite réattribuée à un autre PC, les métadonnées créées par le feed seront incorrectes. Pour éviter ce risque, utilisez le nom de machine ou l’adresse Mac au lieu de l’adresse localIP comme index du feed. Par exemple, pour utiliser une adresse Mac, vous pouvez saisir les valeurs comme indiqué dans la figure suivante.

ecatfeed_mac.png

Configurer le service Security Analytics Concentrator

  1. Connectez-vous à Security Analytics et accédez à Administration > Services.
  2. Sélectionnez un concentrateur dans la liste, puis sélectionnez Vue > Config.
  3. Sélectionnez l'onglet Fichiers , et dans le menu déroulant Fichiers à modifier, sélectionnez index-concentrator-custom.xml.
  4. Ajoutez les clés métas ECAT suivantes au fichier, puis cliquez sur Appliquer. Vérifiez que ce fichier contient déjà les sections XML et si ce n'est pas le cas, ajoutez-les. Les lignes suivantes sont données à titre d'exemple. Assurez-vous que les valeurs sont adaptées à votre configuration et que les noms de colonnes compris dans la définition de feed sont :
    description est le nom de la clé méta que vous souhaitez afficher dans Security Analytics Investigation.
    level correspond au nom IndexValues
    qui correspond au nom de colonne du fichier CSV que Security Analytics utilise lors de la définition du feed récurrent.
    Par exemple, les clés méta peuvent être indexées de la manière suivante :
    <key description="Gateway" format="Text" level="IndexValues" name="gateway" valueMax="250000" defaultAction="Open"/>
    <key description="Risk Number" format="Float64" level="IndexValues" name="risk.num" valueMax="250000" defaultAction="Open"/>
    <key description="Strans Addr" format="Text" level="IndexValues" name="stransaddr" valueMax="250000" defaultAction="Open"/>
    <key description="Ecat Scan Time" format="Text" level="IndexValues" name="ecat.stime" valueMax="250000" defaultAction="Open"/>
    <key description="Ecat Connection Time" format="Text" level="IndexValues" name="ecat.ctime" valueMax="250000" defaultAction="Open"/>

Remarque : Les clés méta liées au feed ECAT qui ne sont pas indexées dans le fichier par défaut (index-concentrator.xml) peuvent être indexées conformément à vos besoins, comme illustré dans l’exemple ci-dessus.

Voici la liste de toutes les clés méta liées au feed ECAT :

                                                                             
ColonneNameDescriptionNom de colonne dans Security Analytics (nom de clé méta)
1MachineNameNom d'hôte de l'agent Windowsalias.host
2LocalIpAdresse IPv4index
3RemoteIpAdresse IP distante telle qu'elle est vue par le routeurstransaddr
4GatewayIpAdresse IP de la passerellegateway
5MacAddressAdresse MACeth.src
6OperatingSystemSystème d'exploitation utilisé par l'agent WindowsSystème d’exploitation
7AgentIDID d'agent de l'hôte (ID unique attribué à l'agent)client
8ConnectionUTCTimeDernière heure à laquelle l'agent s'est connecté au serveur ECATecat.ctime
9Domaine sourceDomainedomain.src
10ScanUTC timeLa dernière fois que l'agent a été analyséecat.stime
11Note de l'ordinateurScore de l'agent indiquant le niveau suspectrisk.num
  1. Redémarrez le Concentrator pour activer les mises à jour personnalisées.

Résultat

Lors de la visualisation des sources de données dans Security Analytics, en cas de correspondance de la valeur indexée (ip.src), les métadonnées sont renseignées dans les interfaces Investigation, Reporting et Alerting.

Dépannage

Cette section suggère comment résoudre les problèmes que vous pouvez rencontrer lors de l'utilisation de feeds récurrents.

             
Problèmes connusSolutions
Avec ECAT 4.1.0.2 et ECAT 4.1.1, l'intégration des feeds ECAT ne fonctionne pas pour Security Analytics.Vous devez utiliser ECAT 4.1.1.1 pour que le feed fonctionne.
You are here
Table of Contents > Configurer des données contextuelles à partir d'ECAT via un feed récurrent

Attachments

    Outcomes