Archer統合:Archerと連携するSecurity Analyticsの構成

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

インシデントの管理と改善を目的としてアラートおよびインシデントをRSA Archerに送信するようにRSA Security Analyticsを構成できます。Security AnalyticsとRSA Archer SecOpsを統合すると、以下の項目を実現できます。

  • インシデントの管理:Security Analyticsで作成されたすべてのインシデントをArcherで処理して、完全なインシデント管理を実現できます。
  • インシデントの改善:インシデントをSecurity Analyticsで処理し、改善タスクをArcherにエクスポートできます。 

RSA Archer Security Operations Managementソリューションを活用すると、すべての対応可能なセキュリティ アラートを集約し、インシデント対応およびSOC管理をより効率的かつプロアクティブに、対象を絞って実施できます。RSA Archer SecOps機能の詳細については、RSA Archer CommunityまたはRSA Archer Exchange CommunityにあるRSA Archerのドキュメントを参照してください。 

サポートされるArcherプラットフォームについては、「SecOps Installation Guide」を参照してください。 

RSA Archerのバージョンによって、RSA Security Analyticsの統合方法が異なります。

  • RSA Archer Security Operations Management 1.2は、SAIM Integration ServiceとRCF(RSA Connector Framework)で構成されるRSA UCF(Unified Collector Framework)を使用して、RSA Security Analyticsと統合されます。
  • RSA Archer Security Operations Management 1.3は、SAIM Integration ServiceとSecOps Watchdog Serviceで構成されるRSA UCF(Unified Collector Framework)を使用して、RSA Security Analyticsと統合されます。

統合方法

RSA Archer Security Operations Managementでインシデント ワークフローを管理するために、システム統合設定を構成する必要があります。この設定を有効にすると、インシデントと改善タスクはRSA Security Analyticsに表示されなくなります。 

RSA Archer Security Operationsでインシデント ワークフローを管理するためのシステム統合設定の方法については、「インシデント管理ガイド」の「RSA Archer Security Operations Managementでインシデントを管理するための統合設定」トピック([インシデント管理]>[システム統合]>[RSA Archer Security Operationsでインシデントを管理するための統合設定])を参照してください。

SAIM(Security Analytics Incident Management)Integration Service

SAIM(Security Analytics Incident Management)Integration Serviceは、RSA Archer Security Operations Managementソリューション1.2および1.3とRSA Security Analytics Incident Managementモジュールを統合します。次のいずれかの統合オプションを選択できます。

  • RSA Archer Security Operations Managementで全てのインシデント ワークフローを管理します。このオプションを選択した場合、Security Analytics Incident Management Integration Serviceは、Security Analytics Incident ManagementモジュールからArcherにインシデントを転送します。 
  • Security Analytics Incident Managementモジュールでインシデント ワークフローを管理し、改善タスクのエスカレーションや、データ侵害の管理と改善のためにRSA Archer Security Operations Managementソリューションを使用します。このオプションを選択した場合、Security Analytics Incident Management Integration Serviceは、改善タスク(発見事項として登録される)、データ侵害、あるいはこれらの両方を転送します。 

注:RSA Security AnalyticsとRSA Security Analytics Incident Management Integration Serviceの両方で同じオプションを構成する必要があります。

RSA UCF(Unified Collector Framework)

RSA Security Analyticsは、RSA UCF(Unified Collector Framework)を使用して、RSA Archer SecOps 1.3と統合されます。 

RSA UCF(Unified Collector Framework)は、サポート対象のすべてのSIEMツールとRSA Archer Security Operations Managementソリューションを統合します。RSA Security Analytics Incident Managementモジュールを統合するときは、次のいずれかの統合オプションを選択できます。

  • RSA Archer Security Operations Managementで詳細なインシデント ワークフローを管理します。このオプションを選択した場合、Unified Collector Frameworkは、Security Analytics Incident Managementモジュールからソリューションにインシデントを転送します。
  • Security Analytics Incident Managementモジュールでインシデント ワークフローを管理し、改善タスクのエスカレーションや、データ侵害の管理と改善のためにRSA Archer Security Operations Managementソリューションを使用します。このオプションを選択した場合、Unified Collector Frameworkは、改善タスク(発見事項として登録される)、データ侵害、またはこれらの両方を転送します。

注:
RSA Security AnalyticsとUnified Collector Frameworkの両方で同じオプションを構成する必要があります。 
RSA Security Analytics IncidentモジュールをReporting EngineまたはESAと統合すると、RSA Archer SecOpsに重複してイベントおよびインシデントが作成されます。

UCFは、Security Analytics Reporting Engine、HP ArcSight、Security Analytics Incident Managementなど、サポート対象の複数のSIEMツールとの同時接続をサポートします。ただし、2つのSecurity Analyticsサーバを同じUCFに接続するなど、同じSIEMツールの複数のインスタンスとの同時接続はサポートされません。

前提条件

  • RSA Archer Security Operations Managementをインストールします。RSA Archer Communityまたはhttps://community.emc.com/community/connect/grc_ecosystem/rsa_archer_exchangeの[コンテンツ]タブにあるRSA Archerのドキュメントを参照してください。 
  • Security Analytics 10.5以降はSecOps 1.2およびSecOps 1.3と互換性があります。Security Analytics 10.5はSecOps 1.1と互換性がありますが、SecOps 1.1は推奨されません。

  • Security Analytics 10.6を使用している場合は、SecOps 1.3にアップグレードすることをお勧めします。

  • RSA Security AnalyticsでIncident Managementモジュールが構成されていることを確認します。 

  • Archer SecOps 1.3では、RSA Archer GRC Platformにデータを転送するために使用するWebサービス クライアントのユーザー アカウントを作成する必要があります。

RSA Unified Collector Frameworkによる統合

RSA UCF(Unified Collector Framework)を使用すると、RSA Archer Security Operations Managementと以下を統合できます。

  • SA IM(Security Analytics Incident Management)
  • SA RE(Security Analytics Reporting Engine)
  •  SA ESA(Security Analytics Event Stream Analysis)

プッシュ用とプル用のRSA Archerユーザー アカウントを作成する

RSA Security Analyticsからデータを送受信するときに競合を回避するには、2つのRSA Archerユーザー アカウントが必要です。

  1. 管理]>[アクセス制御]>[ユーザーの管理]>[新規追加]をクリックします。
  2. [名]フィールドと[姓]フィールドに、RSA Archer GRCにデータをプッシュするためにUCFがこのアカウントを使用することを示す名前を入力します。たとえば、「UCF User」および「Push」と入力します。

    注:プル用のアカウントを構成する場合は、RSA Archer GRCからデータをプルするためにUCFがこのアカウントを使用することを示す名前を入力します。たとえば、「UCF User」および「Pull」と入力します。

  3. (オプション)この新しいユーザー アカウントのユーザー名を入力します。

    注:ユーザー名を指定しない場合、RSA Archer GRC Platformでは、新しいユーザー アカウントを保存する時に名と姓からユーザー名が作成されます。

  4. [連絡先]セクションの[メール]フィールドに、この新しいユーザー アカウントに関連付けるEメール アドレスを入力します。 
  5. [ローカリゼーション]セクションで、タイム ゾーンをUTC(協定世界時)に変更します。

    注:UCFでは、時間関連のすべての計算を標準化するためにUTC時間が使用されます。

  6. [アカウントのメンテナンス]セクションに、新しいユーザー アカウントの新しいパスワードを入力して確認します。

    注:新しいユーザー アカウントのユーザー名とパスワードをメモしてください。UCFの設定で、Webサービス クライアントを介してRSA Archer GRC Platformと通信するときに、これらの認証情報を入力する必要があります。

  7. [次のログイン時に強制的なパスワードの変更を行う]オプションをクリアします。
  8. [セキュリティ パラメータ]フィールドで、このユーザーに対して使用するセキュリティ パラメータを選択します。

    注:デフォルトのセキュリティ パラメーターでは、パスワードの変更間隔が90日に設定されているため、SA IM Integration Serviceに格納されたユーザー アカウント パスワードも90日ごとに更新する必要があります。この操作を回避するには、SA IM Integration Serviceユーザー アカウン用に新しいセキュリティ パラメータを作成し、パスワード変更間隔を企業ポリシーで許可される最大値に設定します。

  9. グループ]タグをクリックし、次の手順を実行します。

    1. [グループ]セクションで、[ルックアップ]をクリックします。
    2. [使用可能なグループ]ウィンドウで、[グループ]を展開します。
    3. 下にスクロールし、[SOC:ソリューション管理者およびEM:読み取り専用]を選択します。
    4. OK]をクリックします。
  10. 適用]をクリックしてから、[保存]をクリックします。
  11. RSA Archer GRCシステムの言語および地域設定が「英語-米国」以外に設定されている場合は、次の手順を実行します。

    1. 作成したユーザー アカウントを開き、[ローカリゼーション]セクションの[ロケール]フィールドで[英語(米国)]を選択し、[保存]をクリックします。
    2. RSA Archer GRC PlatformをホストしているWindowsシステムで、IIS(Internet Information Services)Managerを開きます。
    3. RSA Archer GRCサイトを展開し、[.NETグローバリゼーション]をクリックし、[カルチャ]フィールドと[UIカルチャ]フィールドの両方で[英語(米国)]を選択して、[適用]をクリックします。
    4. RSA Archer GRCサイトを再起動します。
  12. ステップ1~11を繰り返し、RSA Archer GRCからデータをプルするためにUCFの2番目のユーザー アカウントを作成します。

RSA Unified Collector Frameworkのエンドポイントを構成する

エンドポイントは、UCFがRSA Security AnalyticsおよびRSA Archer GRCシステムに到達するために必要な接続の詳細を提供します。

注:さまざまな統合を使用するには、いくつかのエンドポイントが必須になります。次のリストは、必須のエンドポイントを示しています。

必須のエンドポイント

  • Archer Push Syslogエンドポイント
  • SA IM(Security Analytics Incident Management)
  • Archer Pull Enterprise Managementプラグ イン エンドポイント
  • モードの選択:SecOpsまたは非SecOpsモード
  • Syslog サーバ
  • エンタープライズ管理

注:
• 非SecOpsモードを選択した場合、インシデントは、RSA Archer Security Operations Managementではなく、SA IMで管理されます。
• TCPポート、セキュアなTCPポート、UDPポートを構成する必要があります。
• RSA Archer GRCサーバの証明書のサブジェクト名がホスト名に一致していることを確認します。

手順

  1. UCFシステムで、次の手順を実行して、Connection Managerを開きます。
    1. コマンド プロンプトを開きます。
    2. ディレクトリを<install_dir>\SA IM integration service\data-collectorに変更します。
    3. 次のように入力します。

      runConnectionManager.bat

  2. Connection Managerで、[Add Endpoint]に「1」を入力します。
  3. 次の手順を実行して、RSA Archer Security Operations Managementにデータをプッシュするためのエンドポイントを追加します。

    1. Archer の数を入力します。

      注:RSA Archerのエンドポイントを追加するには、SSLを有効にする必要があります。

    2. エンドポイント名には、「push」と入力します。
    3. RSA Archer GRC システムの URL を入力します。
    4. RSA Archer GRC システムのインスタンス名を入力します。
    5. RSA Archer GRCシステムにデータをプッシュするために作成したユーザー アカウントのユーザー名を入力します。
    6. RSA Archer GRCシステムにデータをプッシュするために作成したユーザー アカウントのパスワードを入力し、パスワードを確認します。
    7. データをプルするためにこのアカウントを使用するかどうかを確認するメッセージが表示されたら、「False」と入力します。
  4. 次の手順を実行して、RSA Archer Security Operations Managementからデータをプルするためのエンドポイントを追加します。

    1. Archer の数を入力します。

      注:RSA Archerのエンドポイントを追加するには、SSLを有効にする必要があります。

    2. エンドポイント名には、「pull」と入力します。
    3. RSA Archer GRC システムの URL を入力します。
    4. RSA Archer GRC システムのインスタンス名を入力します。
    5. RSA Archer GRCシステムからデータをプルするために作成したユーザー アカウントのユーザー名を入力します。
    6. RSA Archer GRCシステムからデータをプルするために作成したユーザー アカウントのパスワードを入力し、パスワードを確認します。
    7. データをプルするためにこのアカウントを使用するかどうかを確認するメッセージが表示されたら、「True」と入力します。
  5. 次の手順を実行して、RSA Security Analytics Incident Managementのエンドポイントを追加します。

    1. Security Analytics IMの番号を入力します。
    2. エンドポイント名を入力します。
    3. SAホストのIPアドレスを入力します。
    4. SAポートには、「5671」と入力します。
    5. 改善タスクのターゲット キューを入力します。「All」を選択すると、RSA Archer Integration(GRC)とIT Helpdesk(Operations)の両方が選択されます。
    6. Security Analyticsトラスト ストアに証明書を自動的に追加するには、次の手順を実行します。

      1. yes」と入力します。
      2. SAホストのユーザー名とパスワードを入力します。

      注:CAトラスト ストアの設定に失敗したというエラーを受信した場合は、「RSA Archer統合のトラブルシューティング」を参照してください。

  6. 次の手順を実行して、UCF Connection Managerでモードを選択します。

    1. モード選択の番号を入力します。
    2. 以下のいずれかを選択してください。

      • Manage incident workflow in RSA Security Analytics(RSA Security Analyticsでインシデント ワークフローを管理する)
      • Manage incident workflow exclusively in RSA Archer Security Operations Management(RSA Archer Security Operations Managementでのみインシデント ワークフローを管理)
  7. サード パーティ統合を使用するには、次の手順を実行して、Syslogサーバのエンドポイントを追加します。

    1. 番号を入力して、「Syslog Server Endpoint」を選択します。
    2. 次のコマンドを実行します。
      • フィールドの説明
      • SSLの構成
      • TCPポート
      • セキュアなTCPポート(SyslogクライアントがSyslogメッセージをセキュアなTCPモードで送信する場合)。

    注:デフォルトは1515。UTPモードのSyslogサーバをホストしない場合は、「0」を入力します。

    TCPポート:SyslogクライアントがSyslogメッセージをTCPモードで送信する場合は、TCPポートを入力します。

    注:デフォルトは1514。UTPモードのSyslogサーバをホストしない場合は、「0」を入力します。

    UDPポート:SyslogクライアントがSyslogメッセージをUDPモードで送信する場合は、UDPポートを入力します。

    注:デフォルトは514。UTPモードのSyslogサーバをホストしない場合は、「0」を入力します。

    デフォルトでは、「0」を入力してSyslogサーバを無効にしない限り、Syslogサーバは上記の3つのモードで動作します。

  8. Syslogクライアントをテストするには、「Test Syslog Client」の番号を入力します。Syslogテスト クライアントと<install_dir>\SA IM integration service\config\mapping\test-files\にあるファイルを使用します。
  9. Connection Managerで、「5」を入力して、各エンドポイントをテストします。

Security Analytics 10.5のReporting Engine向けのSyslog出力アクションを構成する

注:次の手順は、Security Analytics 10.5と統合されたSecOps 1.3を対象にしています。

  1. Security Analyticsで、[Administration]>[サービス]をクリックします。
  2. Reporting Engineサービスを選択し、[システム]>[構成]をクリックします。 
  3. 出力アクション]タブをクリックします。 
  4. [SAの構成]セクションの[ホスト名]フィールドに、Reporting Engineサーバのホスト名とIPアドレスを入力します。

    注:このフィールドに値を入力しない場合、RSA Archer Security Alertsアプリケーション内のリンクからSecurity Analyticsに戻ることはできません。 

  5. 次の手順を実行して、Syslog構成を追加します。

    1. [サーバ名]フィールドに、UCFのホスト名を入力します。
    2. [サーバー ポート]フィールドに、UCF Syslog構成で選択したポートを入力します。
    3. [転送プロトコル]フィールドで、転送プロトコルを選択します。

    注:SECURE_TCPを選択した場合は、SSLを構成する必要があります。

  6. 保存]をクリックします。

Security Analytics 10.5以降でESA Syslog通知設定を構成する

次の手順は、Analytics 10.5以降と統合されたSecOps 1.3を対象にしています。

  1. Administration]>[システム]>[グローバル通知]をクリックします。
  2. 出力]タブをクリックします。 
  3. ESA Syslog通知を定義して、有効にします。
  4. サーバー]タブをクリックします。 
  5. Syslog通知サーバを定義して、有効にします。
  6. [Syslogサーバ構成]セクションで、次のように入力します。
  7.                          

    フィールド説明
    サーバ名UCFをインストールしたシステムのホスト名またはIPアドレスを指定します。
    ポートUCFがSyslogアラート メッセージをリスンするポート番号を指定します。
    ファシリティSyslogファシリティを指定します。
    プロトコルプロトコルを選択します。

  8. 保存]をクリックします。 

Archer SecOps 1.3と統合するためにIncident Managementを構成する

Archer SecOps 1.3向けにIncident Managementを構成するには、Security Analyticsで、次の手順を実行します。

                        

ステップ1:Incident Managementデータベースを構成する

Incident Managementサービスを使用可能な状態にするには、データベースを構成する必要があります。

Incident Managementサービスのデータベースを構成するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。

    [サービス]ビューが表示されます。

  2. [サービス]パネルで、Incident Managementサービスを選択し、[表示]>[エクスプローラ]を選択します。

    [サービス]の[エクスプローラ]ビューが表示されます。

  3. [オプション]パネルで、[Service]>[Configuration]>[database]を選択します。

    右側のパネルにdatabaseビューが表示されます。

  4. 次の情報を入力します。

    • Host:データベースとして選択したESAホストのホスト名またはIPアドレス
    • DatabaseName:im(デフォルト値)
    • [Port]:27017(デフォルト値)
    • [Username]:IMデータベースに使用するユーザー アカウントのユーザー名(適切な権限を持ったimユーザーがESAによって作成されています)
    • Password:imユーザー用に選択したパスワード
  5. 次のコマンドを使用して、Incident Managementサービスを再起動します。

    service rsa-im restart

注:データベースの構成を完了するためには、Incident Managementサービスを再起動する必要があります。

ステップ2:Security Analytics Incident Managementのモードを選択する 

Security Analyticsで、ワークフロー管理方法を選択するには、次の手順を実行します。

  1. [Security Analytics]メニューで、[インシデント>[構成]をクリックします。
  2. 統合]タブをクリックします。
  3. 以下のいずれかを選択してください。

    • RSA Security Analyticsでインシデント ワークフローを管理

      • アナリストが、Operationsターゲット キューの改善タスクをチケットとしてエスカレーションできます。
      • アナリストが、GRCターゲット キューの改善タスクを発見事項としてエスカレーションできます。
      • アナリストが、RSA Archer Security Operations Managementソリューションでデータ侵害をレポートし、侵害対応手順をトリガーできます

        詳細については、「インシデント管理ガイド」の「Security Analyticsでインシデントを管理するための統合設定の構成」を参照してください。

    • RSA Archer Security Operations Managementでのみインシデント ワークフローを管理
  4. 適用]をクリックします。

注:このステップは、Archer SecOps 1.2との統合にも適用されます。

ステップ3:Security Analytics Incident Managementサービスへの転送を構成する

  • Security Analytics Event Stream AnalysisアラートをSecurity Analytics Incident Managementに転送するには、次の手順を実行します。

    1. Security Analyticsメニューで、[Administration]>[サービス]>[ESAサービス]を選択します。
    2. ESAサービスを選択し、[表示]>[構成]を選択します。
    3. 詳細]タブをクリックします。
    4. [メッセージ バスでアラートを転送]チェックボックスがデフォルトでオンになっていることを確認します。必要に応じて、[メッセージ バスでアラートを転送]チェックボックスをオンにして、[適用]をクリックします。 
  • Security Analytics Reporting EngineアラートをSecurity Analytics Incident Managementに転送するには、次の手順を実行します。

    1. Security Analyticsメニューで、[Administration]>[サービス]>[Reporting Engineサービス]をクリックします。
    2. Reporting Engineサービスの[表示]>[構成]をクリックします。
    3. 全般]タブをクリックします。
    4. システム構成]セクションで、[IMへのアラート転送]チェックボックスをオンにし、[適用]をクリックします。
  • Security Analytics Malware AnalysisアラートをSecurity Analytics Incident Managementに転送するには、次の手順を実行します。

    1. Security Analyticsメニューで、[Administration]>[サービス]>[Malware Analysisサービス]をクリックします。
    2. MAサービスの>[表示]>[構成]をクリックします。
    3. 監査]タブをクリックします。
    4. [Incident Managementアラート]セクションで、[有効な構成値]チェックボックスがオンになっていることを確認します。チェックボックスがオンになっていない場合は、チェックボックスをオンにし、[適用]をクリックします。

ステップ4:ECATアラートをSecurity Analytics Incident Managementサービスに転送する

Security Analytics Incident Managementを介してRSA ECATアラートをRSA Archer GRCに送信できます。

  1. メッセージ バスでアラートを構成します:メッセージ バス経由のECATアラートの構成
  2. RSA ECATで、[Configure]>[Monitoring and External Components]をクリックします。
  3. [External Components Configuration]ウィンドウで、インシデント メッセージ ブローカーを選択します。
  4. [Add](+)をクリックします。
  5. 以下の各フィールドに入力します。 

    • インスタンス名
    • サーバ ホスト名/IP。RSA Security Analyticsサーバのホスト名またはIPアドレスを入力します。
    • ポート番号。デフォルトのポートは5671です。
  6. 保存]をクリックします。

ステップ 5:アラートをインシデントに統合する

Security Analytics Incident Managementに到着するアラートを、インシデントに自動的に統合し、RSA Archer Security Operations Managementに転送することができます。統合ルールが1分ごとに自動的に実行され、選択した一致条件とグループ化オプションに基づいて、アラートがインシデントに統合されます。アラートの統合の詳細については、「Incident Management 構成ガイド」の「Incident Managementにアラートを表示するためのアラート ソースの構成」トピックを参照してください。 

アラートの統合を構成するには、次の手順を実行します。

  1. Security Analyticsで、[インシデント]>[構成]>[統合ルール]をクリックします。
  2. 標準提供のルールを有効にするには、次の手順を実行します。

    1. ルールをダブル クリックします。
    2. 有効]を選択します。
    3. 保存]をクリックします。
    4. ルールごとにステップa~cを繰り返します。
  3. 新しいルールを追加するには、次の手順を実行します。

    1. [Add](+)をクリックします。
    2. 有効]を選択します。
    3. 以下の各フィールドに入力します。

      • ルール名
      • アクション
      • 一致条件
      • グループ化オプション
      • インシデント オプション
      • 優先順位
      • 通知
  4. 保存]をクリックします。

Security AnalyticsのReporting Engine向けのSyslog出力アクションを構成する

  1. Security Analyticsで、[Administration]>[サービス]をクリックします。
  2. Reporting Engineサービスを選択し、[システム]>[構成]をクリックします。
  3. 出力アクション]タブをクリックします。
  4. [SAの構成]セクションの[ホスト名]フィールドに、Reporting Engineサーバのホスト名とIPアドレスを入力します。
  5. 次の手順を実行して、Syslog構成を追加します。
    1. [サーバ名]フィールドに、UCFのホスト名を入力します。
    2. [サーバー ポート]フィールドに、UCF Syslog構成で選択したポートを入力します。
    3. [転送プロトコル]フィールドで、転送プロトコルを選択します。

      注:SECURE_TCPを選択した場合は、SSLを構成する必要があります。

  6. 保存]をクリックします。

セキュアなSyslogサーバ用にSA RE SSLを構成する 

SyslogサーバがセキュアなTCPで構成されている場合は、SSLを構成します。

  1. UCMマシンの<install_dir>\RSA\SA IM integration service\cert-tool\certsから、Security Analyticsサーバの/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.65-0.b17.el6_7.x86_64/jre/lib/securityに、証明書ファイル「keystore.crt.der」をコピーします。
  2. 次のコマンドを実行します。

    keytool -import -file keystore.crt.der -alias ucf-syslog -keystore cacerts -storepass changeit

    注:上記のコマンドをコピー&ペーストしないでください。エラーを回避するために、手でコマンドを入力してください。

  3. ServerCertificateValidationEnabledtrueに設定します。

    • SA UIの管理ページに移動します。
    • RE(Reporting Engine)サービスの[表示]>[エクスプローラ]をクリックします。
    • com.rsa.soc.reを展開します。
    • sslContextConfigurationを展開し、ServerCertificateValidationEnabledをtrueに設定します。
  4. REサービスを再起動します。

Security Analyticsでルールを構成する 

  1. [レポート]>[管理]タブをクリックします。
  2. [グループ]で[ルール]をクリックします。
  3. [Add](+)をクリックします。
  4. 新しいグループの名前を入力します。
  5. 作成したグループを選択し、[ルール]ツールバーで[追加](+)をクリックします。
  6. [Syslog名]フィールドに、アラートの構成に使用するSecOps Syslog構成の名前を入力します。
  7. [ルール タイプ]フィールドで、[NetWitness DB]を選択します。
  8. ルールの名前を入力します。
  9. 作成するルールに応じて、[Select]フィールドと[Where]フィールドに値を入力します。

    注:上記で設定したSyslog名を使用して、Syslog構成を追加します。

  10. 保存]をクリックします。

注:SA REとRSA Archer GRCに同じ数のアラートを表示するには、[Syslog]タブと[レコード]タブの両方で、[実行]を1回に設定する必要があります。

Security AnalyticsにReporting Engineのアラート テンプレートを追加する

UCF システムログの構成が不要のアラート テンプレート syslog 出力アクションに関するアラートを作成するときに使用できる付属します。これらのテンプレートは、RSA Archer GRC Platform でのインシデントにアラートの集計に使用する基準を定義します。

サンプルのテンプレートは、UCFシステムの次の場所にあります。

<install_dir>\SA IM integration service\config\mapping\templates\SecOps_SA_Templates

  1. [レポート]>[管理]>[アラート]をクリックします。
  2. テンプレート]タブをクリックします。
  3. [Add](+)をクリックします。
  4. [名前]フィールドに、アラート テンプレートの名前を入力します。
  5. [メッセージ]フィールドに、アラート メッセージを入力します。
  6. 作成]をクリックします。
  7. 追加するアラート テンプレートごとにステップ3~6を繰り返します。

Security Analyticsでアラートを構成する

RSA Security Analytics Reporting Engineのアラート機能では、ベースとなるルールを継続的に実行し、さまざまな方法で通知を行うことができます。

  1. [レポート]>[管理]>[アラート]をクリックします。
  2. [Add](+)をクリックします。
  3. 有効化]を選択します。
  4. 作成したルールを選択します。
  5. Decoderへのプッシュ]を選択します。

    注:このフィールドに値を入力しない場合、RSA Archer Security Alertsアプリケーション内のリンクからRSA Security Analyticsに戻ることはできません。

  6. [データ ソース]リストからデータ ソースを選択します。
  7. [通知]セクションで[Syslog]を選択します。
  8. [Add](+)をクリックします。
  9. Syslog構成のフィールドに入力します。
  10. [本文テンプレート]フィールドで、Syslogアラートに使用するテンプレートを選択します。
  11. 保存]をクリックします。

Security AnalyticsでESA Syslog通知設定を構成する

  1. Administration]>[システム]>[グローバル通知]をクリックします。
  2. 出力]タブをクリックします。
  3. ESA Syslog通知を定義して、有効にします。
  4. サーバー]タブをクリックします。
  5. Syslog通知サーバを定義して、有効にします。
  6. [Syslogサーバ構成]セクションで、次のように入力します。

    フィールドの説明:

    • サーバ
    • 名前
    • UCFをインストールしたシステムのホスト名またはIPアドレスを指定します。
    • サーバ
    • ポート
    • UCFがSyslogアラート メッセージをリスンする
    • ポート番号を指定します。

    ファシリティ:

    • Syslogファシリティを指定します。

    プロトコル:

    • プロトコルを選択します。
  7. 保存]をクリックします。

セキュアなSyslogサーバ用にSA ESA SSLを構成する

SyslogサーバがセキュアなTCPで構成されている場合は、SSLを構成します。

  1. [Administration]>[サービス]に移動します。
  2. ESAサービスを選択します。[エクスプローラ]>[構成]>[SSL]をクリックします。
  3. ServerCertificateValidationEnabledをtrueに設定します。
  4. UCFマシンの<install_dir>\SAIM integration service\cert-tool\certsから、ESAホストの/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.65.0.b17.el6_7.x86_64/jre/lib/securityに、証明書ファイル「keystore.crt.der」をコピーします。
  5. 次のコマンドを実行します。

    keytool -import -file keystore.crt.der -alias ucf-syslog -keystore cacerts -storepass changeit

    注:上記のコマンドをコピー&ペーストしないでください。エラーを回避するために、手でコマンドを入力してください。

  6. ESAサービスを再起動します。

Security AnalyticsにESAアラート テンプレートを追加する 

UCF システムログの構成が不要のアラート テンプレート syslog 出力アクションに関するアラートを作成するときに使用できる付属します。これらのテンプレートは、RSA Archer GRC Platform でのインシデントにアラートの集計に使用する基準を定義します。

サンプルのテンプレートは、UCFシステムの次の場所にあります。

<install_dir>\SA IM integration service\config\mapping\templates\SecOps_SA_

Templates\SecOps_SA_ESA_templates.txt

手順:

1. [Administration]>[システム]>[グローバル通知]を選択します。

2. [テンプレート]タブをクリックします。

3. [Add](+)をクリックします。

4. [テンプレート タイプ]フィールドで、[Event Stream Analysis]を選択します。

5. [名前]フィールドに、テンプレートの名前を入力します。

6. (オプション)[説明]フィールドに、テンプレートの簡単な説明を入力します。

7. [テンプレート]フィールドに、アラート メッセージを入力します。

8. [保存]をクリックします。

9. 追加するアラート テンプレートごとにステップ3~8を繰り返します。

Security AnalyticsでESAルールを作成する

  1. アラート]>[構成]をクリックします。
  2. ESAデバイスを選択します。
  3. 選択]をクリックします。
  4. [ESAルール]ツールバーで、[+]をクリックします。
  5. [ルール ビルダー]を選択します。
  6. [名前]フィールドに、ルールの名前を入力します。
  7. [説明]フィールドに、ルールの説明を入力します。
  8. [重大度]を選択します。
  9. [条件]セクションで、次の手順を実行します。

    1. ステートメントをビルドするために、[+]をクリックします。
    2. 名前を入力し、条件タイプを選択し、ステートメントのメタ データとメタ値のペアを追加します。
    3. 保存]をクリックします。
    4. ルールのステートメントがすべてビルドされるまで、ステップa~cを繰り返します。
  10. [通知]セクションで[Syslog]を選択します。
  11. 前に作成した通知、Syslogサーバ、テンプレートを選択します。
  12. SaveCloseをクリックします。
  13. アラート]>[構成]>[導入]をクリックします。
  14. [ESAサービス]セクションの[+]をクリックします。
  15. ESAサービスを選択します。
  16. 今すぐ導入]をクリックします。
  17. [ESAルール]セクションで、[+]をクリックして、作成したESAルールを選択し、[今すぐ導入]をクリックします。

RSA Archer Feed

デフォルトでは、Security Analytics Incident Management Integration Serviceによって、RSA Archerデバイス アプリケーションの[IPアドレス]フィールドと[重要度評価]フィールドのみがRSA Security Analyticsにフィードされます。デバイス アプリケーションが相互参照する[ビジネス ユニット]フィールドと[施設]フィールドをFeedに含めるように、Enterprise Managementプラグ インをカスタマイズすることができます。詳細については、https://community.emc.com/community/connect/grc_ecosystem/rsa archerまたはhttps://community.emc.com/community/connect/grc_ecosystem/rsa_archer_exchangeにあるArcherのドキュメントを参照してください。

注:RSA Archer GRC Platformからビジネス ユニットおよび施設の情報をLiveにフィードすることを計画している場合は、これらのフィールドのキーをindex-concentrator-custom.xmlファイルに追加する必要があります。

Security Analyticsでは、管理者が次のようなタスクを実行できます。 

                    

Concentrator と Decoder サービスを更新します。

Security Analytics Incident Management Integration Serviceは、カスタムFeed用のファイルを管理し、これらのファイルを、Security Analytics Incident Management Integration Serviceを構成するときに指定したローカル フォルダーに配置します。RSA Security AnalyticsのLiveモジュールは、このフォルダからFeedファイルを受け取ります。その後、LiveはDecoderにFeedをプッシュします。Decoderは、収集したネットワーク トラッフィクとFeed定義に基づいて、メタデータの作成を開始します。各Concentratorが、Decoderによって作成された新しいメタデータを認識できるようにするには、index-concentrator-custom.xmlファイル、index-logdecoder-custom.xmlファイル、index-decoder-custom.xmlファイルを編集する必要があります。

  1. [Security Analytics]メニューで、[Administration]>[サービス]をクリックします。
  2. Concentratorを選択し、[表示]>[構成]を選択します。
  3. ファイル]タブをクリックします。
  4. ドロップダウン リストから[index-concentrator-custom.xml]を選択します。次のいずれかを実行します。
    • ファイルにコンテンツがすでに存在する場合は、次のように、新しいメタデータ要素のキーを追加します。

      <key description="Criticality" format="Text" level="IndexValues"

      name="criticality" defaultAction="Open"/>

      注:コードをコピー&ペーストしないでください。エラーを回避するために、手でコマンドを入力してください。

    • ファイルが空の場合は、次の内容を追加します。

      <?xml version="1.0" encoding="utf-8"?>
      <language level="IndexNone" defaultAction="Auto">
      <key description="Criticality" format="Text" level="IndexValues"
      name="criticality" defaultAction="Open"/>
      </language>

  5. 適用]をクリックします。
  6. サービスがリストに表示されない場合は、[適用]をクリックします。
  7. 複数のデバイスに追加するには、次の手順を実行します。

    1. プッシュ]をクリックします。
    2. このファイルのプッシュ先のデバイスを選択します。
    3. OK]をクリックします。
  8. index-logdecoder-custom.xmlとindex-decoder-custom.xmlを使用して、Log DecoderおよびIndex Decoderに対してステップ1~7を繰り返します。
  9. ConcentratorおよびDecoderサービスを停止してから、起動します。

UCF で RSA Archer エンタープライズ管理エンドポイントを追加します。

  1. 次の手順を実行して、UCF Connection Managerでモードを選択します。

    1. モード選択の番号を入力します。

    2. 以下のいずれかを選択してください。

      • Manage incident workflow in RSA Security Analytics(RSA Security Analyticsでインシデント ワークフローを管理する)
      • Manage incident workflow exclusively in RSA Archer Security Operations Management(RSA Archer Security Operations Managementでのみインシデント ワークフローを管理)
  2. 次の手順を実行して、RSA Archer Enterprise Managementエンドポイントを追加します。

    1. Enterprise Managementの番号を入力します。
    2. 次の表に示したフィールドに入力します。

                                           
      フィールド説明
      エンドポイント名オプションのエンドポイント名。
      Webサーバのポートデフォルトは9090。WebサーバのURLを構成します。SAのLive Feedでポート番号を含むURLを次のように指定する必要があります。(http(s)://hostname:port/archer/sa/feed)
      重要度

      RSA Archer GRCからPullする資産の重要度を指定します。

      falseの場合、あらゆる重要度の資産をPullします。

      trueの場合、重要度が「高」の資産のみをPullします。

      これを手動で編集する場合は、collector-configプロパティ ファイルのem.criticalityプロパティを編集して、次のように重要度をカンマ区切りで指定します。LOW, MEDIUM, HIGH. 

      Feedディレクトリ

      RSA Archer GRCから取得した資産CSVファイルを保存するディレクトリ。

      注:既存のディレクトリ パスを指定する必要があります。

      Webサーバのユーザー名

      EM Webサーバへの認証を行うためのユーザー名。

      注:このユーザー名を、SA Live Feedの構成で指定します。

      Webサーバのパスワード

      EM Webサーバへの認証を行うためのパスワード。

      注:このユーザー名を、SA Live Feedの構成で指定します。

      SSLモード

      デフォルト値はNo。

      No]を選択した場合、URLにhttpモードが使用されます。 http://hostname:port/archer/sa/feed

      Yes]を選択した場合、URLにhttpsモードが使用されます。 https://hostname:port/archer/sa/feed

      hostsファイルを更新していない場合は、「SSLモード使用時のRSA Security Analytics hostsファイルの更新」を参照してください。

  3. SSLモードに[Yes]を選択した場合は、次のフィールドに入力します。

    • [証明書をSAホストにコピーする]。「Yes」を入力すると、証明書がRSA Archer Security Operations ManagementからRSA Security Analyticsに自動的にコピーされます。
    • [SAホスト]。SAサーバのホスト名またはIPアドレスを入力します。
    • [SAホストのユーザー名]。証明書をコピーするためにSAサーバにログインするときに使用するユーザー名を入力します。
    • [SAホスト パスワード]。証明書をコピーするためにSAサーバにログインするときに使用するパスワードを入力します。

注:証明書のコピーとエンドポイントの追加に失敗した場合は、証明書を手動でコピーします。「RSA Archer統合のトラブルシューティング」の「Enterprise Managementの証明書を手動でコピーする」を参照してください。証明書をコピーしたら、証明書の自動コピーを選択しないで、Enterprise Managementエンドポイントを追加する必要があります。

SSLモード使用時のRSA Security Analytics hostsファイルの更新

  1. 次のコマンドを実行し、SAサーバのhostsファイルを編集します:vi /etc/hosts
  2. UCFホストのIPアドレスとして、次のアドレスを入力します。

    <ucf-host-ip> <ucf-host-name>

  3. 次のコマンドを実行してSAサーバを再起動します。

    restart jettysrv

  4. SA Live Feedを構成するときに、次のように、URLにはIPアドレスの代わりにホスト名と、UCFでEnterprise Managementエンドポイントに構成したポート番号を入力します。

    https: //<ucf-host-name> : <EM_Port>/archer/sa/feed.

  5. 接続が動作することを確認します。

繰り返し Feed タスクを作成します。

RSA Security AnalyticsでSecurity Analytics Incident Management Integration ServiceからFeedファイルをダウンロードし、DecoderにFeedをプッシュするには、繰り返しFeedタスクを作成し、Feed設定を定義する必要があります。

注:RSA Archer SecOps 1.2の場合:RSA Security AnalyticsでRCFマシンからFeedファイルをダウンロードし、DecoderにFeedをプッシュするには、繰り返さしFeedタスクを作成し、Feed設定を定義する必要があります。手順は、少数の例外を除いて、RSA Archer SecOps 1.3の場合と類似しています。詳細については、「RSA Archer Exchange Community」のドキュメントを参照してください。 

  1. [Security Analytics]メニューで、[Live]>[Feed]をクリックします。
  2. をクリックします。
  3. カスタムFeed]を選択し、[次へ]をクリックします。
  4. 繰り返し]を選択します。
  5. Feedの名前を入力します。
  6. [URL]フィールドに、次のいずれかのURLを入力します。

    ここで、http(s):ucf_hostname_or_ip:portは、Security Analytics Incident Management Integration Serviceシステムのアドレスです。RSA Security AnalyticsとのSSL通信を有効にした場合は、httpsを使用します。たとえば、http://10.10.10.10:9090またはhttps://10.10.10.10:8443。

    注:Incident ManagementがSSLモードで実行されている場合は、URL内にホスト名を使用する必要があります。

  7. 認証情報]を選択します。
  8. [ユーザー名]フィールドと[パスワード]フィールドに、Security Analytics Incident Management Integration Serviceシステムのファイルへのアクセスに使用するためにRSA Security Analytics用に作成したユーザー アカウントの認証情報を入力します。
  9. Feedの繰り返し間隔を定義します。
  10. [日付範囲]セクションで、Feedの開始日と終了日を定義し、[次へ]をクリックします。
  11. このFeedのプッシュ先の各Decoderを選択し、[次へ]をクリックします。
  12. [タイプ]フィールドでIPが選択されていることを確認します。
  13. [インデックス列]フィールドで、[1]を選択します。
  14. 2番目の列で、キー値の重要度を設定し、[次へ]をクリックします。
  15. Feed構成の詳細を確認して、[完了]をクリックします。

RSA Unified Collector Frameworkを管理する

このトピックでは、Archer SecOps 1.3と統合するためにRSA UCF(Unified Collector Framework)を構成および管理する追加タスクについて説明します。 

RSA Unified Collector Frameworkを開始する

  1. [コントロール パネル]>[管理ツール]>[サービス]をクリックします。
  2. [RSA Unified Collector Framework]を選択します。
  3. 開始をクリックします。

RSA Unified Collector Frameworkを停止する

  1. [コントロール パネル]>[管理ツール]>[サービス]をクリックします。
  2. RSA SecOpsWatchDog Serviceを停止します。

    注:Watchdog Serviceを停止しない場合、Watchdog Serviceは、停止したSecurity Analytics Incident Managementサービスを開始します。

  1. [RSA Unified Collector Framework]を選択します。
  2. 停止]をクリックします。

注:サービスのシャットダウンに時間がかかりすぎる場合は、タスク マネージャーを使用して、RSASAIMDCServiceを停止します。 

RSA Unified Collector Frameworkをアンインストールする

  1. コントロール パネル]>[プログラムと機能]をクリックします。
  2. RSA Unified Collector Framework]を選択します。
  3. Uninstallをクリックします。
Previous Topic:RSA Archerとの統合
You are here
Table of Contents > Archerと連携するSecurity Analyticsの構成

Attachments

    Outcomes