Integración de RSA ECAT 71140

Document created by RSA Information Design and Development on Feb 9, 2017
Version 1Show Document
  • View in full screen mode
  

Los clientes de RSA que usan RSA ECAT 4.0 y superior, y RSA Security Analytics 10.4 y superior, pueden integrar ECAT y Security Analytics de varias formas distintas. Esta guía se aplica a Security Analytics versión 10.6 y superior.

Opciones de integración

Consulta de terminal incorporada

Con la interfaz del usuario de RSA ECAT instalada en la misma máquina donde el analista usa un navegador para acceder a Security Analytics, la búsqueda de terminal incorporada de Security Analytics Investigation y Security Analytics Incident Management proporciona acceso con el botón secundario al servidor de la consola de ECAT para las siguientes claves de metadatos: Dirección IP (ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip), host (alias-host, domain.dst), client y file-hash. Esto se describe en el tema Iniciar una búsqueda externa de una clave de metadatos en Investigation y Malware Analysis y en el tema Vista Alertas de Incident Management.

No se requiere configuración de Security Analytics para la búsqueda de terminal cuando se usa uno de los analizadores incorporados, RSA ECAT o CEF, y no se han personalizado las claves de metadatos predeterminadas que se utilizan cuando se cargan los metadatos en Investigation. Consulte Administrar y aplicar claves de metadatos predeterminadas en una investigación en Investigation y Malware Analysis.

Nota: La excepción se produce si personaliza Security Analytics mediante la edición de los ajustes de pantalla para las claves de metadatos predeterminadas en Investigation, agrega claves de metadatos al archivo table-map-custom.xml o personaliza feeds de RSA ECAT. Se requiere cierta configuración para agregar las claves de metadatos personalizadas al menú contextual Consulta de ECAT en la vista Administration > Sistema, como se describe en el tema Agregar acciones de menú contextual personalizadas de la guía Configuración del sistema.

Integraciones adicionales

Con el servidor de la consola RSA ECAT 4.0 o superior instalado en un host de Windows y la configuración adecuada de ECAT y Security Analytics por parte de un administrador, son posibles cuatro integraciones adicionales de datos de análisis de ECAT, como lo representan las flechas rojas de abajo.

Las integraciones posibles de RSA ECAT con Security Analytics incluyen:

  • Alertas de ECAT mediante syslog (CEF) en Log Decoders de Security Analytics. Esta integración proporciona funcionalidad para aplicar Live Intelligence a las alertas de ECAT y correlacionar eventos de ECAT con otros metadatos de registros o paquetes en el ecosistema de Security Analytics (consulte Configurar alertas de ECAT mediante syslog en un Log Decoder).
  • Alertas de ECAT mediante el bus de mensajes en Security Analytics Incident Management. Esta integración proporciona funcionalidad para Incident Management y flujo de trabajo centralizados en Security Analytics (consulte el tema Configurar orígenes de alertas para mostrar alertas en Incident Management de la Guía de configuración de Incident Management).
  • Datos contextuales desde ECAT a través de un feed recurrente de Security Analytics Live. Esta integración puede enriquecer con información contextual la sesión que se muestra en Security Analytics Investigation; algunos ejemplos incluyen el sistema operativo del host, la dirección MAC, el puntaje y otros datos que tal vez no estén presentes en los datos de registros o de paquetes (consulte Configurar datos contextuales desde ECAT a través de un feed recurrente).
  • Feeds de RSA Live para ECAT 4.0 y superior. Esta integración puede enriquecer los indicadores de riesgo (IOC) instantáneos de ECAT con diversos feeds en RSA Live que contienen dominios y direcciones IP sospechosos. Los IOC instantáneos en ECAT pueden beneficiarse de estos feeds desde una perspectiva de inteligencia. ECAT 4.0 no publica ningún feed en RSA Live (consulte Configurar ECAT para recibir feeds de RSA Live).

Alertas e indicadores de riesgo de ECAT

Un IOC (Indicador de riesgo) instantáneo de ECAT en una consulta de base de datos que RSA ECAT ejecuta en los datos de escaneo de ECAT para determinar la presencia de malware potencial en hosts escaneados. RSA ECAT 4.0 y superior viene con IOC que el usuario puede activar y marcar con la capacidad de generar alertas. RSA ECAT ejecuta consultas de IOC de forma periódica sobre nuevos datos de escaneo, que se recogen y almacena en la base de datos. Si se satisface la consulta de IOC, esto indica un posible indicador de riesgo, y el evento se puede informar a un usuario o se puede enviar a un sistema externo como una alerta.

Los posibles tipos de alertas son:

  • Alerta de máquina: Esta alerta indica que la máquina en cuestión es sospechosa.
  • Alerta de módulo: Esta alerta indica que un módulo, como un archivo, un archivo DLL o un archivo ejecutable, es sospechoso. Contiene detalles sobre el módulo en cuestión.
  • Alerta de dirección IP: Esta alerta indica que no ha habido actividad sospechosa en Internet (tráfico).
  • Alerta de evento: Esta alerta representa cualquier otra actividad sospechosa detectada por ECAT que no entra en las categorías anteriores.

Cada uno de estos tipos de alerta se puede enviar de forma asociada a Security Analytics.

 

 

Temas

You are here
Table of Contents > Integración de RSA ECAT

Attachments

    Outcomes