Configurar ECAT para recibir feeds de RSA Live

Document created by RSA Information Design and Development on Feb 9, 2017Last modified by Scott Marcus on Apr 27, 2017
Version 2Show Document
  • View in full screen mode
  

RSA ECAT 4.0 y superior se puede configurar para recibir feeds de RSA Live. Varios feeds de RSA Live contienen direcciones IP y dominios sospechosos, y varios indicadores de riesgo (IOC) instantáneos definidos en ECAT pueden aprovechar estos feeds desde una perspectiva de inteligencia. Ninguno de los feeds está habilitado de manera predeterminada en ECAT. Cuando se habilita un feed, el servidor de ECAT Console se conecta a RSA Live (https://cms.netwitness.com) y descarga datos de feeds periódicamente al sistema ECAT.

Nota:
• ECAT no publica ningún feed en RSA Live. Es solo un consumidor de feeds.
• El procedimiento para configurar ECAT con el fin de recibir feeds de RSA Live es diferente para ECAT versión 4.0 y ECAT versión 4.1. Hemos incluido instrucciones para ambas versiones.

Requisitos previos

Para esta integración se requiere lo siguiente:

  • Interfaz del usuario de ECAT versión 4.0 o superior y servidor de Security Analytics versión 10.6 instalados.
  • Una cuenta de RSA Live, para la cual se puede obtener un nombre de usuario y una contraseña del servicio de soporte de RSA.
  • El servidor de ECAT Console debe poder conectarse a https://cms.netwitness.com.

Activar o desactivar feeds

Para ECAT versión 4.0

  1. Abra la interfaz del usuario de ECAT e inicie sesión con las credenciales apropiadas.
  2. En la barra de menú en la parte superior de la página, seleccione Base de datos > Importar ssumas de comprobación.
    Se muestra el cuadro de diálogo Importar suma de comprobación.
  3. Seleccione la pestaña RSA Live y, a continuación, la subpestaña Configuración.
  4. Complete los detalles del servidor de RSA Live y las credenciales.
    El valor del host generalmente es cms.netwitness.com.
    El puerto generalmente es 443.
  5. Para validar la conectividad, haga clic en Probar conexión.
    Si toda la configuración está correcta, se muestra el mensaje Passed.
  6. Haga clic en Aplicar.
  7. Seleccione la subpestaña Feeds suscritos.
    Se muestra una lista de todos los feeds.
  8. Seleccione los feeds que desea que ECAT importe desde RSA Live.
  9. Ingrese un intervalo apropiado. El tiempo recomendado es 24 horas, lo cual configura a ECAT para conectarse a RSA Live cada 24 horas con el fin de actualizar los datos importados.
  10. (Opcional) Haga clic en Actualizar ahora para descargar los feeds de inmediato.
  11. Haga clic en Guardar.

Para ver el estado de direcciones URL y dominios maliciosos conocidos importados de diversos feeds, elija la pestaña Estado y seleccione el feed. La cantidad de entradas por feed varía de algunos cientos a varios miles.

Para ECAT versión 4.1

  1. Cree un usuario de SQL con las credenciales en ECAT:
    1. Abra la interfaz del usuario de ECAT e inicie sesión con las credenciales apropiadas.
    2. Haga clic en Configurar > Administrar usuarios y funciones.
    3. En Seguridad, haga clic con el botón secundario en el panel y seleccione Crear un nuevo usuario SQL.
    4. Proporcione el nombre de inicio de sesión y la contraseña.
  2. En la barra de menú en la parte superior de la página, seleccione Configurar > Monitoreo y componentes externos.
  3. Aparece la ventana Configuración de componentes externos. Seleccione RSA Live y haga clic en +.
    ext-comp-config.png
  4. Se muestra el cuadro de diálogo RSA Live.
    ext-comp-live.png
  5. En RSA Live, en On, escriba un nombre para identificar este componente.
  6. En la página Configuración de RSA Live, realice lo siguiente:
    1. En Nombre de usuario y Contraseña, escriba las credenciales que se utilizarán para acceder a este componente.
    2. En Nombre de host/IP de servidor, el valor predeterminado es cms.netwitness.com. Si es necesario, actualice el campo.
    3. En Puerto, el número de puerto predeterminado es 443. Si es necesario, actualice el campo.
  7. En Feeds de RSA Live suscritos, realice lo siguiente.
    1. En Intervalo de actualización, ingrese un intervalo apropiado. El intervalo recomendado es 24 horas, lo cual significa que ECAT se conecta a RSA Live cada 24 horas con el fin de actualizar los datos importados.
    2. Seleccione los feeds que ECAT importará desde RSA Live.
  8. Haga clic en Guardar.
    El componente de RSA Live se agrega a ECAT y se activan los feeds.
  9. Para validar la conectividad, seleccione el componente recién agregado y haga clic en Configuración de pruebas.
    Si toda la configuración está correcta, se muestra el mensaje Aprobada.

Feeds de RSA Live para ECAT 4.0 y superior

                                                                                                           
Nombre de feedDescripción
Direcciones IP de RSA FraudActionEste feed contiene direcciones IP del feed de RSA FraudAction.
Dominios de RSA FraudActionEste feed contiene dominios del feed de RSA FraudAction.
Reputación de direcciones IP de RSA FirstWatchEste feed contiene direcciones IP que se sabe que están en riesgo.
Direcciones IP de entrada de VPN delictiva de RSA FirstWatchEste feed contiene direcciones IP que representan nodos de entrada de VPN conocidos para servicios de anonimización delictiva.
Direcciones IP de salida de VPN delictiva de RSA FirstWatchEste feed contiene direcciones IP que representan nodos de salida de VPN conocidos para servicios de anonimización delictiva.
Direcciones IP de amenazas de APT de RSA FirstWatchEste feed contiene direcciones IP que se sabe que están asociadas a APT.
Direcciones IP de vulnerabilidades de RSA FirstWatchEste feed contiene direcciones IP que se sabe que están asociadas a la distribución de malware.
Direcciones IP de comando y control de RSA FirstWatchEste feed contiene direcciones IP que se sabe que están asociadas a comando y control de malware.
Dominios de amenazas de APT de RSA FirstWatchEste feed contiene dominios que se sabe que están asociados a APT.
Dominios de comando y control de RSA FirstWatchEste feed contiene dominios que se sabe que están asociados a comando y control de malware.
Direcciones IP de nodos de SOCKS delictivos de RSA FirstWatchEste feed contiene direcciones IP que representan nodos de SOCKS conocidos para servicios de anonimización delictiva.
Dominios de indicadores de amenazas de iDefenseLos servicios de inteligencia de seguridad de Verisign iDefense brindan a los ejecutivos de seguridad de la información acceso 24x7 a ciberinteligencia exacta y útil en relación con vulnerabilidades, código malicioso y amenazas globales. El análisis en profundidad, la información y las recomendaciones de respuesta de Verisign iDefense ayudan a mantener a los negocios y a las organizaciones gubernamentales a la vanguardia de amenazas y vulnerabilidades nuevas y en evolución.
Rangos de direcciones IP de listas DROP de SpamhausDROP (no enrutar ni asociar) y EDROP son listas “descartar todo el tráfico” consultivas que constan de bloques de red “secuestrados” robados y bloques de red bajo el control total de delincuentes y spammers profesionales.
Lista de dominios de malwareLista de dominios asociados comúnmente con malware que se origina en www.malwaredomainlist.com
Rastreador de dominios de SpyEyeEl rastreador de dominios de SpyEye es una lista de nombres de dominio de comando y control de SpyEye (también conocido como zbot, prg, wsnpoem, gorhax y kneber). Ha rastreado más de 2,800 servidores de comando y control de SpyEye maliciosos. SpyEye se distribuye principalmente a través de descargas ocultas y esquemas de robo de identidad
Direcciones IP de usuarios de SOCKS delictivos de RSA FirstWatchEste feed contiene direcciones IP en las cuales se ha observado el uso de servicios de anonimización delictiva.
Nodos de salida TorEste feed contiene direcciones IP señaladas como nodos de salida activos para la red Tor.
Nodos TorEste feed contiene direcciones IP señaladas como nodos activos en la red Tor.
Dominios de malwareLista de dominios asociados con malware que se origina en www.malwaredomains.com
Lista de direcciones IP de malwareLista de direcciones IP asociadas comúnmente con malware que se origina en www.malwaredomainlist.com
You are here

Table of Contents > Configurar ECAT para recibir feeds de RSA Live

Attachments

    Outcomes