RSA ECATとの統合 72552

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

RSA ECAT 4.0以降およびRSA Security Analytics 10.4以降の両方を使用しているRSAユーザーは、ECATとSecurity Analyticsを複数の方法で統合できます。このガイドは、Security Analyticsバージョン10.6以降用です。

統合オプション

ビルトインのエンドポイント ルックアップ

アナリストがブラウザでSecurity Analyticsにアクセスしているコンピュータに、RSA ECAT UI(ユーザー インターフェイス)がインストールされている場合、Security Analytics InvestigationとSecurity Analytics Incident Managementに組み込まれたエンドポイント ルックアップ機能によって、特定のIPアドレスを右クリックすればECATコンソール サーバにアクセスできます。IPアドレス(ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip) host (alias-host, domain.dst)clientfile-hash。詳細については、InvestigationおよびMalware Analysisの「メタ キーの外部ルックアップの起動」トピックおよびIncident Managementの「[アラート]ビュー」トピックを参照してください。

ビルトインParserであるRSA ECATまたはCEFのいずれかを使用し、Investigationでメタ データのロードに使用されるデフォルトのメタ キーをカスタマイズしていない場合、エンドポイント ルックアップにSecurity Analyticsの構成は必要ありません。InvestigationおよびMalware Analysisの「Investigationでのデフォルト メタ キーの管理と適用」を参照してください。

注:例外としては、Investigationのデフォルト メタ キーの表示設定を編集して、Security Analyticsをカスタマイズしたり、メタ キーをtable-map-custom.xmlファイルに追加したり、RSA ECAT Feedをカスタマイズした場合などです。「システム構成」ガイドの「コンテキスト メニューのカスタム アクションの追加」トピックで説明されているように、構成によっては、[Administration]>[システム]ビューから、ECATルックアップのコンテキスト メニューにカスタム メタ キーを追加する必要があります。

その他の統合オプション

WindowsホストにインストールされたRSA ECAT 4.0以降のコンソール サーバを使用し、ECATとSecurity Analyticsを管理者が適切に構成した場合、赤色の矢印で示すように、ECAT解析データに関する4種類の追加の統合が利用可能になります。

利用可能なRSA ECATとSecurity Analyticsとの統合は次のとおりです。

  • Security Analytics Log DecoderへのSyslog(CEF)経由のECATアラート。この統合により、LiveインテリジェンスをECATアラートに適用したり、ECATイベントをSecurity Analyticsエコシステム内の他のログやパケット メタデータと関連づけたりすることが可能になります(次を参照:Log DecoderへのSyslog経由のECATアラートの構成).
  • Security Analytics Incident Managementへのメッセージ バス経由のECATアラート通知。この統合により、Security Analyticsでの一元化されたインシデント管理およびワークフローへの対応が可能になります(「Incident Management構成ガイド」の「インシデント管理にアラートを表示するためのアラート ソースの構成」トピックを参照)。
  • Security Analytics Liveの繰り返しFeedを通じたECATからのコンテキスト データ この統合では、たとえば、ホスト オペレーティング システム、MACアドレス、スコア、ログやパケット データに存在しないその他のデータなどのコンテキスト情報を使用してSecurity Analytics Investigationに表示されるセッションにより豊富な情報を付加することができます(次を参照:繰り返しFeedを通じたECATからのコンテキスト データの構成).
  • ECAT 4.0以降へのRSA Live Feed。この統合オプションでは、疑わしいドメインやIPアドレスを含むRSA Liveの複数のFeedを使用して、ECATインスタントIOC(セキュリティ侵害インジケータ)を強化することができます。ECAT内で定義されたインスタントIOCは、RSA LiveのFeedを利用して、インテリジェンスを強化することができます。ECAT 4.0はRSA LiveにFeedを発行しません(次を参照:RSA Live Feedを受信するためのECATの構成).

ECATアラートとセキュリティ侵害インジケータ

ECATインスタントIOC(セキュリティ侵害インジケータ)は、RSA ECATがスキャン対象のホストにおけるマルウェアの存在を判断するために、収集されたECATスキャン データに対して実行するデータベース クエリーです。RSA ECAT 4.0以降には、ユーザーが有効化しアラート対象としてマークできるIOCが同梱されています。RSA ECATは、データベースに収集されて格納される新しいスキャン データに対してIOCクエリーを定期的に実行します。IOCクエリーにマッチするデータが検知された場合、これはセキュリティ侵害の可能性があることを示しており、このイベントをユーザーに報告したり、外部システムにアラートとして送信することができます。

アラートには次のタイプがあります。

  • マシン アラート:このアラートは、対象のマシンが疑わしいことを示します。
  • モジュール アラート:このアラートは、ファイル、dll、実行ファイルなどのモジュールが疑わしいことを示します。対象のモジュールに関する詳細情報も含んでいます。
  • IPアラート:このアラートは、疑わしいインターネット アクティビティ(トラフィック)が検知されていることを示します。
  • イベントアラート:このアラートは、前述のカテゴリーに属さないその他の疑わしいアクティビティがECATで検知されたことを示します。

これらのアラート タイプはそれぞれSecurity Analyticsに関連づけることができます。

 

 

トピック

You are here
Table of Contents > RSA ECATとの統合

Attachments

    Outcomes