Context Hub: Configurar RSA ECAT como un origen de datos

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

En este tema se describe el procedimiento para configurar ECAT como un origen de datos para Context Hub. 

Para usar el servicio Context Hub con el fin de obtener información contextual desde ECAT, debe configurar ECAT como un origen de datos para Context Hub. Utilice los procedimientos de este tema para agregar ECAT como un origen de datos para el servicio Context Hub y configurar las respuestas (si es necesario) para ECAT. 

Las respuestas son diferentes tipos de información de contexto que están disponibles para un origen de datos. La configuración de estas respuestas para el origen ECAT controla lo que aparece en el panel Búsqueda de contexto que se muestra en las vistas de Investigation cuando se realiza una búsqueda de contexto. Los tipos de respuestas para el origen de datos ECAT son Máquinas, Módulos e InstantIOCs.

Las respuestas para cada origen de datos ya están configuradas con valores predeterminados con el fin de ofrecer un rendimiento óptimo. Puede ver o editar los valores predeterminados mediante el procedimiento de este tema.

Requisitos previos

Garantice que:

  • Context Hub está habilitado y el servicio está disponible en Administration > vista Servicios de Security Analytics.
  • RSA ECAT (v4.1.1 y superior) está instalado y configurado.
    En los documentos relacionados con RSA ECAT 4.1.1 se proporciona información detallada acerca de la instalación y la configuración de ECAT. Consulte los documentos de ECAT disponibles en https://knowledge.rsasecurity.com.

Procedimientos

 

Agregar el origen de datos RSA ECAT

 

 

Para agregar RSA ECAT como un origen de datos para Context Hub:

  1. En el menú de Security Analytics, seleccione Administration > Servicios.
    Se muestra la vista Servicios.
  2. En el panel Servicios, seleccione el servicio Context Hub y haga clic en ic-actns.png > Ver > Configuración.
    Se muestra la vista Configuración de servicios.
  3. En la pestaña Orígenes de datos, haga clic en Icon.png > ECAT
    Se muestra el cuadro de diálogo Agregar origen de datos.
    F-Add-ecat-ds.png
  4. Proporcione la siguiente información:

                                                   
    CampoDescripción
    HabilitarSeleccione Habilitar para habilitar el origen de datos ECAT. Esta opción está habilitada de manera predeterminada (seleccionada).
    NombreProporcione un nombre para el origen de datos ECAT.
    HostIngrese el nombre de host o la dirección IP donde está instalado el servidor de la API de ECAT.
    PuertoEl puerto predeterminado es 9443.
    Versión de APILa versión de la API predeterminada (/api/v2) es compatible con la conexión a ECAT 4.1.1 y superior.
    SSLSeleccione SSL si desea que Security Analytics se comunique con el host mediante SSL. Esta opción está activada de manera predeterminada.
    Nombre de usuarioIngrese el nombre de usuario del servidor de la API de ECAT.
    ContraseñaIngrese la contraseña del servidor de la API de ECAT.
    Rendimiento Consultas simultáneasPuede configurar la cantidad máxima de consultas simultáneas que define el servicio Context Hub y que se ejecutarán contra los orígenes de datos configurados. El valor predeterminado es 25.
  5. Haga clic en Probar conexión para probar la conexión entre Context Hub y el origen de datos ECAT.
  6. Haga clic en Guardar para guardar la configuración.
    ECAT se agrega como un origen de datos para Context Hub. El origen de datos ECAT agregado se muestra en la pestaña Orígenes de datos.
    F-DS-tab.png
 

Cambiar la contraseña del administrador de ECAT

El usuario administrador del servidor de la API asigna las funciones y los permisos a los usuarios nuevos. El usuario administrador no se crea de
manera predeterminada en el momento de la instalación.

Los siguientes son el nombre de usuario y la contraseña del administrador de ECAT:

  • Nombre de usuario: admin
  • Contraseña: Esto se debe establecer mediante el siguiente comando:
    ApiServer.exe /setadminpswd A_Strong_Password

Una vez que establezca la contraseña, reinicie el servidor.

Para obtener más información acerca del servidor de la API REST de RSA ECAT, consulte los documentos relacionados con ECAT que están disponibles en https://knowledge.rsasecurity.com.

Configurar respuestas para el origen de datos ECAT

Para ver/editar respuestas para el origen de datos ECAT:

  1. En la pestaña Orígenes de datos, seleccione el origen ECAT y haga clic en ic-actns2.png.
    Se muestra el cuadro de diálogo Configurar respuestas de ECAT.
    F-Conf-ecat-resp.png
  2. En el panel izquierdo, seleccione cada respuesta (Máquinas, Módulos e InstantIOCs) para ver y editar la configuración.
  3. Configure los siguientes campos:

                               
    CampoDescripción
    HabilitarEsta opción está habilitada de manera predeterminada (seleccionada) y se puede utilizar para habilitar o deshabilitar la respuesta seleccionada.
    Usar cachéSeleccione la casilla de verificación para habilitar el almacenamiento en caché de las respuestas. Cuando se habilita, Context Hub almacena los resultados de búsqueda en la caché. Las solicitudes subsiguientes para el mismo valor de metadatos se obtienen de la caché durante el tiempo configurado (Vencimiento de la caché).
    Vencimiento de la cachéEl tiempo (en minutos) que los resultados de búsqueda se almacenan en caché una vez que se realiza la búsqueda de contexto. El valor predeterminado es 30 minutos.

    Puntaje de IIOC mínimo (solo para Módulos)

    El puntaje de IIOC mínimo para obtener información contextual sobre los módulos ECAT. Se obtiene la información contextual de módulos ECAT con un puntaje de IIOC mayor o igual que el puntaje mínimo configurado.

    El puntaje de IIOC para los módulos ECAT varía entre 0 y 1,024, donde 1,024 se considera crítico.

    De forma predeterminada, el puntaje de IIOC mínimo se configura en 500

  4. Haga clic en Guardar para guardar los cambios.

Próximos pasos 

Después de completar la configuración, puede usar la opción Búsqueda de contexto en Investigar > vista Navegar o en Investigation > vista Eventos para obtener información contextual. Para obtener instrucciones, consulte el tema Ver el contexto adicional de un punto de datos de la Guía de Investigation y Malware Analysis.

You are here
Table of Contents > Configuración básica > Paso 2. Configurar orígenes de datos para Context Hub > Configurar RSA ECAT como un origen de datos para Context Hub

Attachments

    Outcomes