インシデント管理の構成:ステップ3. アラート ソースの構成

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

アラート ソースからのアラートをIncident Managementに表示するには、この手順を実行する必要があります。[Incident Management]ビューへのアラートの挿入を有効化または無効化することができます。デフォルトで、このオプションはReporting Engine、Malware Analytics、ECATで無効化されており、Event Stream Analysisでのみ有効化されています。そのため、対応するアラートを[Incident Management]ビューに挿入するには、Incident Managementサービスをインストールした後、このオプションをReporting Engine、Malware Analytics、ECATで有効化しておく必要があります。

前提条件

次の事項を確認:

  • Incident ManagementサービスがSecurity Analyticsにインストールされ、実行されている。
  • Incident Managementサービス用にデータベースが構成されている。
  • ECATがインストールされ、実行されている。

Reporting Engineによってトリガーされたアラートを[Incident Management]ビューに表示するようReporting Engineを構成

Reporting Engineのアラートは、[Incident Management]ビューに表示されないようデフォルトで無効になっています。Reporting Engineのアラートを表示するには、[サービス]の[構成]ビューでReporting Engineの[全般]タブを開いて、Incident Managementアラートを有効化する必要があります。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Reporting Engineサービスを選択し、>[表示]>[構成]を選択します。
    [サービス]の[構成]ビューが表示され、Reporting Engineの[全般]タブが開きます。
  3. システム構成]を選択します。
  4. IMへのアラート転送]のチェックボックスをオンにします。
    Reporting EngineによってアラートがIncident Managementに転送されるようになります。

[全般]タブのパラメーターの詳細については、「Reporting Engine構成ガイド」の「Reporting Engineの[全般]タブ」トピックを参照してください。

Malware Analyticsによってトリガーされたアラートを[Incident Management]ビューに表示するようMalware Analyticsを構成

Incident Managementアラートの表示は、Malware Analysisの監査機能の1つです。IMアラートを有効化する手順については、「Malware Analysis構成ガイド」の「(オプション)Malware Analysisホストの監査の構成」トピックで説明します。

ECATによってトリガーされたアラートを[Incident Management]ビューに表示するようECATを構成

ここでは、Security AnalyticsとECATを統合するのに必要な手順を紹介します。この手順を完了すると、Security AnalyticsのIncident ManagementコンポーネントによってECATアラートが収集され、[インシデント]>[アラート]ビューに表示されるようになります。

注:RSA ECATとの統合ガイド」の「RSA ECATとの統合」トピックでは、Security AnalyticsのECAT統合機能の概要と、メッセージ バスを使用してECATとSecurity Analyticsとの統合を構成する詳細な手順について説明します。

次の図は、Security Analyticsのインシデント管理キューへのECATアラートの流れと、[インシデント]>[アラート]ビューでの表示を示しています。

                       ECAT_integration.png

ECATアラートを表示するようECATを構成

ECATアラートをSecurity Analyticsのユーザー インターフェイスに表示するようECATを構成するには、次の手順を実行します。

  1. ECATユーザー インターフェイスで、[Configure]>[Monitoring and External Components]をクリックします。

    Monitoring and External Components]ダイアログが表示されます。

  2. ダイアログ内の任意の場所を右クリックし、[Add Component]を選択します。

    [Add Component]ダイアログが表示されます。

  3. 次の情報を入力します。

    • Component Type]のドロップダウン オプションから、IM brokerを選択します。
    • IM brokerを識別するためのUnique Nameを入力します。
    • IM brokerのHost DNS or IP addressを入力します。
    • Port numberを入力します。デフォルトのポートは5671です。
  4. [Save]>[Close]の順にクリックして、すべてのダイアログを閉じます。
  5. IMアラート用にSSLを設定するには、ECATに対して次のステップを実行してSSL通信を設定します。

    1. ECATプライマリ コンソール サーバで、ローカル コンピュータの個人証明書ストアからECAT CA証明書をcer形式(Base-64でエンコードされたX.509)にエクスポートします(秘密鍵は選択しません)。
    2. ECATプライマリ コンソール サーバで、ECAT CA証明書を使用してECATのクライアント証明書を生成します (CN名を「ecat」に設定する必要があります)。

      makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "EcatCA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer

    3. ECATのプライマリ コンソール サーバーで、ステップbで生成したクライアント証明書の拇印をメモしておきます。次に示すように、ConsoleServer.Exe.ConfigファイルのIMBrokerClientCertificateThumbprintセクションに、クライアント証明書の拇印の値を入力します。

      <add key="IMBrokerClientCertificateThumbprint" value="?896df0efacf0c976d955d5300ba0073383c83abc"/>

    4. SAサーバで、.cer形式のECAT CA証明書ファイル(ステップa)の内容を/etc/puppet/modules/rabbitmq/files/truststore.pemに追加します。
    5. SAサーバで、puppet agentコマンドを次のように実行します(または、SAサーバがコマンドを実行するまで約30分待機します)。

      puppet agent -t

    6. ECATプライマリ コンソール サーバで、/var/lib/puppet/ssl/certs/ca.pemファイルをSAサーバから、信頼されたルート証明機関ストアにインポートします。これにより、ECATがクライアントとしてIMサーバ証明書を信頼できるようになります。
You are here
Table of Contents > インシデント管理の構成 > ステップ3:Incident Managementにアラートを表示するためのアラート ソースの構成

Attachments

    Outcomes