MA: Configurar el ambiente operativo de Malware Analysis

Document created by RSA Information Design and Development on Feb 9, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

En este tema se describen los procedimientos para configurar el ambiente operativo de Security Analytics de modo que se conecte a un servicio Security Analytics Malware Analysis. Security Analytics Malware Analysis puede actuar como un servicio que comparte ubicación en un servidor de Security Analytics o como un servicio en un dispositivo de Malware Analysis exclusivo. Si el sitio usa un dispositivo dedicado, realice una de las siguientes acciones:

  • Si su sitio está agregando un nuevo dispositivo de Security Analytics Malware Analysis exclusivo, instale el dispositivo de Security Analytics Malware Analysis físico en su red y configure el ambiente operativo.
  • Si su sitio está actualizando un dispositivo Spectrum exclusivo a un dispositivo de Security Analytics Malware Analysis exclusivo, vuelva a crear la imagen del dispositivo Spectrum como un dispositivo de Security Analytics Malware Analysis.

Security Analytics Malware Analysis depende de la infraestructura de Core para funcionar. Los siguientes pasos son necesarios para que Security Analytics Malware Analysis pueda analizar datos correctamente.

  1. Configure el Broker incorporado en el dispositivo Malware Analysis para conectar otro Broker o Concentrator a la infraestructura de Security Analytics Core existente.

Nota: Si la infraestructura de Core no existe, solo se pueden analizar los archivos cargados de forma manual.

  1. Use Security Analytics Live para buscar todos los recursos de Live con la etiqueta malware analysis, e implemente estos recursos en cada servicio de Decoder que capturará tráfico para las funciones de análisis de Security Analytics Malware Analysis. Security Analytics utiliza este conjunto de analizadores y feeds de propiedad para descubrir eventos que probablemente correspondan a malware.
  2. Configure los puertos de comunicaciones. Security Analytics Malware Analysis requiere que diversos puertos de comunicación estén abiertos, incluido TCP/443 para HTTPS. Estos puertos se describen más adelante en Conexiones de red.
  3. Configure el origen de NextGen con el cual se conectará Security Analytics Malware Analysis. Este es el Broker o el Concentrator.
    Security Analytics Malware Analysis ya está listo para comenzar a analizar el tráfico de la red.

Conexiones de red

Las conexiones de red entrantes y salientes se deben configurar para que el dispositivo Malware Analysis se comunique correctamente con los servicios, los orígenes de RSA para las actualizaciones de software y otra información importante.

El firewall de la red se debe configurar para permitir el acceso de Malware Analysis a Internet. De ser necesario, se pueden usar servidores proxy para facilitar estas conexiones.

Conexiones entrantes

TCP/22: Acceso del protocolo SSH al servidor de Security Analytics Malware Analysis para revisar archivos de registro y solucionar problemas. El acceso se puede limitar a las direcciones IP que administrarán Security Analytics Malware Analysis.

  • TCP/443: Conexión web HTTPS para acceder a la interfaz del usuario de Security Analytics Malware Analysis.
  • TCP/50008: puerto JMX para solucionar problemas de rendimiento mediante el uso de una aplicación como JVisualVM. Esto es opcional y el acceso se puede limitar a las direcciones IP que administrarán Security Analytics Malware Analysis.

Conexiones salientes

  • TCP/443: conexiones HTTPS con servidores web basados en SSL. Entre algunas de las funciones, se incluye que Security Analytics Malware Analysis envíe archivos o documentos a servidores para su análisis, lo cual requiere una conexión segura. Compatible con el uso de un servidor proxy web.
  • TCP/443: Conexión SSL desde Security Analytics Malware Analysis a RSA Cloud. Compatible con el uso de un servidor proxy SOCKS. Es posible que se deban hacer cambios en la infraestructura del cliente para asegurarse de que el puerto 443 esté abierto para cloud.netwitness.com.
  • TCP/50103: Puerto de la API REST que se usa para comunicarse con un Broker. (Security Analytics 10.3.x y anterior)
  • TCP/50105: Puerto de la API REST que se usa para comunicarse con un Concentrator. (Security Analytics 10.3.x y anterior)
  • TCP/50003 TCP/56003: Puertos que se usan para comunicarse con un Broker. (Security Analytics 10.4 y superior)
  • TCP/50005 TCP/56005: Puertos que se usan para comunicarse con un Concentrator. (Security Analytics 10.4 y superior)
  • Conexión ICMP-JMS desde Security Analytics al servicio Malware Analysis para verificar si la dirección IP y el nombre de host ingresados son válidos para una conexión de prueba correcta.
Previous Topic:Configuración básica
You are here
Table of Contents > Configuración básica > Configurar el ambiente operativo de Malware Analysis

Attachments

    Outcomes