Context Hub:データ ソースとしてのRSA ECATの構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、ECATをContext Hubのデータ ソースとして構成する手順について説明します。 

Context Hubサービスを使用してECATからコンテキスト情報をフェッチするには、ECATをContext Hubのデータ ソースとして構成する必要があります。このトピックの手順に従って、ECATをContext Hubサービスのデータ ソースとして追加し、ECATのレスポンスの構成(必要な場合)を行ってください。 

レスポンスには、データ ソースで使用可能なさまざまなタイプのコンテキスト情報が含まれます。ECATソースのレスポンスを構成することで、コンテキスト ルックアップを実行したときにInvestigationビューの[コンテキスト ルックアップ]パネルに表示される情報を制御できます。ECATデータ ソースのレスポンスのタイプには、Machines、Modules、InstantIOCがあります。

各データ ソースのレスポンスは、パフォーマンスが最適になるようにデフォルト値が事前に設定されています。デフォルト値は、このトピックの手順に従って表示や編集が可能です。

前提条件

次の事項を確認:

  • Context Hubサービスが有効化されていて、Security Analyticsの[Administration]>[サービス]ビューで使用できること。
  • RSA ECAT(v4.1.1以上)がインストールされて構成されていること。
    ECATのインストールと構成の詳細については、RSA ECAT 4.1.1のドキュメントに記載されています。https://knowledge.rsasecurity.comで提供されているECATのドキュメントを参照してください。

手順

 

RSA ECATデータ ソースの追加

 

 

RSA ECATをContext Hubのデータ ソースとして追加するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
    [サービス]ビューが表示されます。
  2. サービス]パネルで、Context Hubサービスを選択し、ic-actns.png>[表示]>[構成]を選択します。
    [サービス]の[構成]ビューが表示されます。
  3. データ ソース]タブで、Icon.png>[ECAT]をクリックします。 
    データ ソースの追加]ダイアログが表示されます。
    F-Add-ecat-ds.png
  4. 次の情報を入力します。

                                                   
    フィールド説明
    有効化有効化]を選択して、ECATデータ ソースを有効にします。このオプションはデフォルトで有効(オン)に設定されています。
    名前ECATデータ ソースの名前を入力します。
    ホストECAT APIサーバのインストール先のホスト名またはIPアドレスを入力します。
    ポートデフォルトのポートは9443です。
    APIバージョンデフォルトのAPIバージョン(/api/v2)では、ECAT 4.1.1以上との接続がサポートされます。
    SSLSecurity Analyticsとホストの通信にSSLを使用する場合は、[SSL]を選択します。デフォルトで有効になっています。
    ユーザー名ECAT APIサーバーのユーザー名を入力します。
    パスワードECAT APIサーバのパスワードを入力します。
    最大 同時実行クエリー数Context Hubサービスで構成済みデータ ソースに対して実行するクエリーの最大同時実行数を設定できます。デフォルト値は25です。
  5. 接続のテスト]をクリックして、Context HubとECATデータ ソースとの接続をテストします。
  6. 保存]をクリックして設定を保存します。
    ECATがContext Hubのデータ ソースとして追加され、追加したECATデータ ソースが[データ ソース]タブに表示されます。
    F-DS-tab.png
 

ECAT管理者のパスワードの変更

新しいユーザーへのロールと権限の割り当ては、APIサーバ管理ユーザーが行います。「admin」ユーザーはインストール時に
デフォルトで作成されません。

ECAT管理者のユーザー名とパスワードは次のとおりです。

  • ユーザー名:admin
  • パスワード:次のコマンドを使用して設定する必要があります。
    ApiServer.exe /setadminpswd A_Strong_Password

パスワードを設定したら、サーバーを再起動します。

RSA ECAT REST APIサーバの詳細については、https://knowledge.rsasecurity.comで提供されているECATのドキュメントを参照してください。

ECATデータ ソースのレスポンスの構成

ECATデータ ソースのレスポンスを表示/編集するには、次の手順を実行します。

  1. データ ソース]タブで、ECATソースを選択し、ic-actns2.pngをクリックします。
    ECATのレスポンスの構成]ダイアログが表示されます。
    F-Conf-ecat-resp.png
  2. 左側のパネルで、各レスポンス(Machines、Modules、InstantIOC)を選択し、設定を表示して編集します。
  3. 次のフィールドを設定します。

                               
    フィールド説明
    有効化このオプションはデフォルトで有効(オン)に設定されています。選択した応答を有効または無効にすることができます。
    キャッシュを使用するレスポンスのキャッシュを有効にする場合は、このチェックボックスをオンにします。有効にすると、Context Hubのキャッシュにルックアップ結果が保存されます。以降に同じメタ値に対するリクエストを行うと、キャッシュの有効期間の間はキャッシュからデータが提供されます。
    キャッシュ有効期間コンテキスト ルックアップの実行後にルックアップ結果をキャッシュに保存する時間(分)。デフォルト値は30分です。

    最小IIOCスコア(モジュールのみ)

    ECATモジュールのコンテキスト情報をフェッチする最小IIOCスコア。IIOCスコアが設定した最小スコア以上のECATモジュールのコンテキスト情報のみがフェッチされます。

    ECATモジュールのIIOCスコアの範囲は0~1024で、1024は重大と見なされます。

    デフォルトでは、最小IIOCスコアは500に設定されています。 

  4. 保存]をクリックして変更を保存します。

次のステップ 

構成が完了したら、Investigate>[ナビゲート]ビューまたはInvestigation>[イベント]ビューの[コンテキスト ルックアップ]オプションを使用してコンテキスト情報をフェッチできます。手順については、「InvestigationおよびMalware Analysisガイド」の「データ ポイントの追加コンテキストの表示」トピックを参照してください。

You are here
Table of Contents > 基本的な設定 > ステップ2:Context Hubのデータ ソースの構成 > Context Hubのデータ ソースとしてのRSA ECATの構成

Attachments

    Outcomes