Configurer des alertes ECAT via les bus de messages

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Cette procédure est requise pour intégrer ECAT avec Security Analytics de façon à ce que les alertes ECAT soient relevées par le composant Incident Management de Security Analytics et affichées dans la vue Incident > Alertes.

Le diagramme ci-dessous représente le flux d'alertes ECAT dans la file d'attente de gestion des incidents de Security Analytics et affiche les alertes dans la vue Incident > Alertes.

Conditions préalables

Assurez-vous de disposer de ce qui suit :

  • Le service Incident Management est installé et en cours d'exécution sur Security Analytics 10.4 ou version ultérieure.
  • ECAT 4.0 ou version ultérieure est installé et en cours d'exécution.

Configurez le Broker Incident Management en tant que composant ECAT externe

Pour ECAT version 4.0

Pour configurer ECAT de manière à envoyer des alertes sur le bus de messages à l'interface utilisateur Security Analytics :

  1. Ouvrez l'interface utilisateur ECAT et connectez-vous en utilisant les informations d'identification adéquates.
  2. Dans la barre de menus, sélectionnez Configurer > Composants de surveillance et externes.
    La boîte de dialogue Composants de surveillance et externes s'affiche.
  3. Cliquez avec le bouton droit de la souris n'importe où dans la boîte de dialogue et sélectionnez Ajouter un composant.
    La boîte de dialogue Ajouter un composant s'affiche.
  4. Fournissez les informations suivantes :
  • Sélectionnez le type de composant IM Broker dans les options de la liste déroulante.
  • Saisissez un nom d'utilisateur pour identifier le composant IM Broker.
  • Saisissez le DNS de l'hôte ou l'adresse IP du composant IM Broker.
  • Saisissez le numéro de port.
  1. Cliquez sur Enregistrer et fermer pour fermer toutes les boîtes de dialogue.

Pour ECAT version 4.1

Pour configurer ECAT de manière à envoyer des alertes sur le bus de messages à l'interface utilisateur Security Analytics :

  1. Ouvrez l'interface utilisateur ECAT et connectez-vous en utilisant les informations d'identification adéquates.
  2. Dans la barre de menus, sélectionnez Configurer > Composants de surveillance et externes.
    La boîte de dialogue Configuration des composants externes s'affiche.
  3. Dans Incident Message Broker, cliquez sur + pour ajouter un Incident Message (IM) Broker.
    La boîte de dialogue Incident Message Broker s'affiche.
    ext-comp-im.png
  4. Sous Incident Message Broker, dans Activé, saisissez un nom pour le composant Message Broker.
  5. Sous Connexion Security Analytics, procédez comme suit :
    1. Dans Nom d'hôte/IP du serveur, saisissez l'adresse IP du serveur Security Analytics.
    2. Dans Port, saisissez le numéro de port par défaut 5671. Si nécessaire, mettez à jour le champ.
  6. Cliquez sur Save.

Configurer le certificat AC ECAT sur le service Security Analytics Broker

Pour configurer une connexion SSL pour les alertes de gestion d'incidents :

  1. Sur le serveur de console primaire ECAT, exportez le certificat AC ECAT au format .cer (base-64 codé X.509) à partir du magasin de certificats personnel de l'ordinateur local (sans sélectionner la clé privée).
  2. Sur le serveur de console primaire ECAT (sur l'ordinateur, à l'emplacement où se trouve le fichier exécutable ECAT makecert), générez un certificat client pour ECAT à l'aide du certificat AC ECAT. (Vous devez définir le nom CN sur ecat).
    makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "EcatCA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer
  3. Sur le serveur de console primaire ECAT, notez l'empreinte du certificat client généré à l'étape 2. Saisissez la valeur d'empreinte du certificat client dans la section IMBrokerClientCertificateThumbprint  du fichier ConsoleServer.Exe , comme indiqué.
    <add key="IMBrokerClientCertificateThumbprint" value="?896df0efacf0c976d955d5300ba0073383c83abc"/>

Remarque : Lorsque vous saisissez une valeur d'empreinte dans le champ Valeur, veillez à supprimer le point d'interrogation (?), saisissez la valeur, puis enregistrez le fichier.

  1. Sur le serveur Security Analytics, ajoutez le contenu du fichier de certificat d'autorité de certification ECAT au format .cer (à partir de l'étape 1) à
    /etc/puppet/modules/rabbitmq/files/truststore.pem
  2. Sur le serveur Security Analytics, procédez comme suit :
  • Exécutez l'agent puppet avec la commande suivante : puppet agent -t
  • Attendez 30 minutes que le serveur Security Analytics exécute l'agent.
  1. Sur le serveur de console principal ECAT, importez le fichier /var/lib/puppet/ssl/certs/ca.pem à partir du serveur Security Analytics vers le magasin Autorités de certification racines de confiance.
    Ceci permet de s'assurer que l'ECAT, en tant que client, peut faire confiance au certificat de serveur Incident Management.
  2. Redémarrez le serveur ECAT pour activer ECAT et envoyer des alertes à Security Analytics.
You are here
Table of Contents > Configurer des alertes ECAT via les bus de messages

Attachments

    Outcomes