MA:Malware Analysis動作環境の構成

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Security Analytics Malware Analysisサービスに接続するために、Security Analyticsの動作環境を構成する手順について説明します。Security Analytics Malware Analysisは、Security Analyticsサーバ上に共存するサービスとして動作することも、Malware Analysis専用アプライアンス上のサービスとして動作することもできます。専用アプライアンスを使用する場合は、次のいずれかのタスクを実行します。

  • サイトで新しいSecurity Analytics Malware Analysis専用アプライアンスを追加する場合には、ネットワークにSecurity Analytics Malware Analysis物理アプライアンスをインストールして構成します。
  • ご使用のサイトでSpectrum専用アプライアンスをSecurity Analytics Malware Analysis専用アプライアンスにアップグレードする場合は、SpectrumアプライアンスをSecurity Analytics Malware Analysisアプライアンスとして再初期化します。

Security Analytics Malware Analysisは、コア インフラストラクチャと協調して動作します。Security Analytics Malware Analysisで正しくデータを解析するには、次のステップを実行する必要があります。

  1. Malware AnalysisアプライアンスのオンボードBrokerを、既存のSecurity Analytics Coreインフラストラクチャの別のBrokerまたはConcentratorに接続するように構成します。

注:コア インフラストラクチャが存在しない場合は、手動でアップロードされたファイルのみを解析することができます。

  1. Security Analytics Liveを使用して、malware analysisタグを持つすべてのLiveリソースを検索し、Security Analytics Malware Analysisで解析するトラフィックをキャプチャする各Decoderサービスにこれらのリソースを導入します。Security Analyticsでは、この独自のParserとFeedのセットを使用して、マルウェアの可能性があるイベントを検出します。
  2. 通信ポートを構成します。Security Analytics Malware Analysisを実行するには、HTTPS用のTCP/443など、複数の通信ポートが開いている必要があります。これらについては、後述の「ネットワーク接続」セクションで説明します。
  3. Security Analytics Malware Analysisが接続する先のNextGenソースを構成します。これはBrokerまたはConcentratorです。
    これで、Security Analytics Malware Analysisを使用してネットワーク トラフィックの解析を開始する準備ができました。

ネットワーク接続

Malware Analysisアプライアンスがサービスやソフトウェア アップデートをRSAソースから受信したり、その他の重要な情報を外部と通信したりできるようにしておくために、ネットワーク接続を構成しておく必要があります。

ネットワーク環境のファイアウォールで、Malware Analysisによるインターネットへのアクセスを許可するように構成する必要があります。必要に応じて、プロキシ サーバを使用することもできます。

インバウンド接続

TCP/22:ログ ファイルを調べてトラブルシューティングを行うためのSecurity Analytics Malware AnalysisサーバへのSecure Shellアクセス。アクセスは、Security Analytics Malware Analysisを管理する端末のIPアドレスに制限できます。

  • TCP/443:Security Analytics Malware Analysisユーザー インタフェースにアクセスするためのWebベースのHTTPS接続。
  • TCP/50008:JVisualVMなどのアプリケーションを使用して、パフォーマンスのトラブルシューティングを行うためのJMXポート。これはオプションです。アクセスは、Security Analytics Malware Analysisを管理する端末のIPアドレスに制限できます。

アウトバウンド接続

  • TCP/443:SSLベースのWebサーバへのHTTPS接続。Security Analytics Malware Analysisで解析のためにサーバにファイルやドキュメントを送信する場合など、セキュア接続を必要とする機能で使用されます。Webプロキシ サーバの使用がサポートされています。
  • TCP/443:Security Analytics Malware AnalysisからRSA CloudへのSSL接続。SOCKSプロキシ サーバの使用がサポートされています 既存のユーザーは、cloud.netwitness.comへの接続用に443を開くようにインフラストラクチャの変更が必要になる場合があります)。
  • TCP/50103:Brokerと通信するために使用されるREST APIポート。(Security Analytics 10.3.x以前)
  • TCP/50105:Concentratorと通信するために使用されるREST APIポート。(Security Analytics 10.3.x以前)
  • TCP/50003 TCP/56003:Brokerと通信するために使用されるポート。(Security Analytics 10.4 以降)
  • TCP/50005 TCP/56005:Concentratorと通信するために使用されるポート。(Security Analytics 10.4 以降)
  • ICMP:ホスト名とIPアドレスが有効かどうかを確認するためのSecurity AnalyticsからMalware Analysisサービスへの接続テスト用のJMS接続。
Previous Topic:基本的な設定
You are here
Table of Contents > 基本的な設定 > Malware Analysis動作環境の構成

Attachments

    Outcomes