RSA Live Feedを受信するためのECATの構成

Document created by RSA Information Design and Development on Feb 17, 2017Last modified by Scott Marcus on Apr 27, 2017
Version 2Show Document
  • View in full screen mode
  

RSA ECAT 4.0以降は、RSA LiveからFeedを受信するように構成できます。RSA LiveのFeedの中には、疑わしいドメインやIPアドレスを含むものがあります。ECAT内で定義されているいくつかのIOC(インスタント セキュリティ侵害インジケータ)は、これらのFeedによってインテリジェンスが強化されます。ECATでは、デフォルトですべてのFeedが無効になっています。Feedを有効にすると、ECATコンソール サーバはRSA Live(https://cms.netwitness.com)に接続し、FeedデータをECATシステムに定期的にダウンロードします。

注:
• ECATはRSA LiveにFeedを発行しません。Feedデータを受信するのみです。
• ECATバージョン4.0とECATバージョン4.1では、RSA Live Feedを受信するようにECATを構成する手順が異なります。両方のバージョンの手順について説明しています。

前提条件

この統合の要件を次に示します。

  • バージョン4.0以降のECAT UIおよびバージョン10.6 Security Analyticsサーバがインストールされている必要があります。
  • RSA Liveアカウントが構成されていること。アカウントのユーザー名とパスワードはRSAから入手できます。
  • ECATコンソール サーバがhttps://cms.netwitness.comに接続できること。

Feedの有効化または無効化

ECATバージョン4.0の場合

  1. ECATのユーザー インタフェースを開き、適切な認証情報を使用してログオンします。
  2. ページの上部にあるメニュー バーから、[データベース]>[チェックサムのインポート]を選択します。
    [Import Checksum]ダイアログが表示されます。
  3. RSA Live]タブを選択し、[Settings]タブを選択します。
  4. RSA Liveサーバの詳細と認証情報を入力します。
    ホスト値は通常、cms.netwitness.comです。
    ポート番号は通常、443です。
  5. 接続を確認するために、[Test Connection]をクリックします。
    テストに成功した場合は、「Passed」と表示されます。
  6. Apply]をクリックします。
  7. Subscribed Feeds]タブを選択します。
    すべてのFeedのリストが表示されます。
  8. RSA LiveからインポートするFeedを選択します。
  9. 適切な間隔を入力します。推奨される時間は24時間です。この場合、ECATは、24時間ごとにRSA Liveに接続して、インポートされたデータを更新します。
  10. (オプション)Feedを今すぐダウンロードするには、[Refresh Now]をクリックします。
  11. Save]をクリックします。

各種のFeedからインポート済みの既知の有害なドメインおよびIPのステータスを表示するには、[Status]タブを選択し、Feedを選択します。Feedあたりのエントリーの数はそれぞれ異なり、数百件から数千件の範囲に及びます。

ECATバージョン4.1の場合

  1. ECATの認証情報を使用してSQLユーザーを作成します。
    1. ECATのユーザー インタフェースを開き、適切な認証情報を使用してログオンします。
    2. 構成]>[ユーザーとロールの管理]をクリックします。
    3. セキュリティ]で、パネルを右クリックし、[新しいSQLユーザーの作成]を選択します。
    4. ログイン名とパスワードを指定します。
  2. ページの上部にあるメニュー バーから、[構成]>[監視と外部コンポーネント]を選択します。
  3. [外部コンポーネントの構成]ウィンドウが表示されます。[RSA Live]を選択し、[+]をクリックします。
    ext-comp-config.png
  4. [RSA Live]ダイアログが表示されます。
    ext-comp-live.png
  5. RSA Live]の下にある[オン]に、このコンポーネントを識別する名前を入力します。
  6. RSA Liveの設定]で、次の手順を実行します。
    1. ユーザー名]と[パスワード]に、このコンポーネントへのアクセスに使用する認証情報を入力します。
    2. サーバ ホスト名/IP]を指定します。デフォルト値はcms.netwitness.comです。必要に応じて、更新します。
    3. ポート]を指定します。デフォルトのポート番号は443です。必要に応じて、更新します。
  7. サブスクライブされたRSA Live Feed]で、次の手順を実行します。
    1. 更新間隔]に、適切な間隔を入力します。推奨される間隔は24時間です。この場合、ECATは、24時間ごとにRSA Liveに接続して、インポートされたデータを更新します。
    2. RSA LiveからインポートするECATのFeedを選択します。
  8. 保存]をクリックします。
    RSA LiveコンポーネントがECATに追加され、Feedがアクティブ化されます。
  9. 接続を検証するには、新たに追加されたコンポーネントを選択し、[設定のテスト]をクリックします。
    すべての設定が正しい場合は、「Passed」と表示されます。

ECAT 4.0以降向けのRSA Live Feed

                                                                                                           
Feed名説明
RSA FraudAction IPsこのFeedには、RSA FraudAction FeedからのIPが含まれます。
RSA FraudAction DomainsこのFeedには、RSA FraudAction Feedからのドメインが含まれます。
RSA FirstWatch IP ReputationこのFeedには、セキュリティ侵害が確認されているIPが含まれます。
RSA FirstWatch Criminal VPN Entry IPsこのFeedには、犯罪性の高い匿名サービスの既知のVPNエントリー ノードを表すIPが含まれます。
RSA FirstWatch Criminal VPN Exit IPsこのFeedには、犯罪性の高い匿名サービスの既知のVPN出口ノードを表すIPが含まれます。
RSA FirstWatch APT Threat IPsこのFeedには、APTに関係していることが確認されているIPが含まれます。
RSA FirstWatch Command and Control IPsこのFeedには、マルウェアのコマンド&コントロールに関係していることが確認されているIPが含まれます。
RSA FirstWatch APT Threat DomainsこのFeedには、APTに関係していることが確認されているドメインが含まれます。
RSA FirstWatch Command and Control DomainsこのFeedには、マルウェアのコマンド&コントロールに関係していることが確認されているドメインが含まれます。
RSA FirstWatch Criminal SOCKS node IPsこのFeedには、犯罪性の高い匿名サービスの既知のSOCKSノードを表すIPが含まれます。
IDefense Threat Indicators Domains情報セキュリティの責任者は、Verisign iDefenseセキュリティ インテリジェンス サービスを使用して、24時間365日いつでも、脆弱性、悪意のあるコード、グローバルな脅威に関連する正確で実用的なサイバー インテリジェンスにアクセスできます。Verisign iDefenseによる詳細な解析、インサイト、対応に関する項目は、民間企業や政府機関が、新たに発生する脅威や脆弱性に先行して対応するのに役立ちます。
Spamhaus DROP List IP RangesDROP(Don't Route Or Peer)およびEDROPは、盗難され「ハイジャックされた」netblockや、犯罪者やプロフェッショナルなスパマーによって完全に制御されたnetblockが記載された、勧告的な「drop all traffic」リストです。
Zeus Domain TrackerZeusドメイン トラッカーは、zeus(zbot、prg、wsnpoem、gorhax、kneberとも呼ばれます)コマンド&コントロール ドメインの名前のリストです。Zeusトラッカーでは、2,800を超える悪意のあるzeusコマンド&コントロール サーバを追跡しています。Zeusは、主に、ドライブバイ ダウンロードとフィッシングという手法によって広まっています。
Zeus Domain TrackerZeusドメイン トラッカーは、zeus(zbot、prg、wsnpoem、gorhax、kneberとも呼ばれます)コマンド&コントロール ドメインの名前のリストです。Zeusトラッカーでは、2,800を超える悪意のあるzeusコマンド&コントロール サーバを追跡しています。Zeusは、主に、ドライブバイ ダウンロードとフィッシングという手法によって広まっています。
Malware Domain Listwww.malwaredomainlist.comの情報に基づく、マルウェアと頻繁に関係するドメインのリスト。
SpyEye Domain TrackerSpyEyeドメイン トラッカーは、spyeye(zbot、prg、wsnpoem、gorhax、kneberとも呼ばれます)指揮統制ドメインの名前のリストです。SpyEyeトラッカーでは、2,800を超える悪意のあるspyeyeコマンド&コントロール サーバを追跡しています。SpyEyeは、主に、ドライブバイ ダウンロードとフィッシングという手法によって広まっています。
RSA FirstWatch Criminal Socks User IPsこのFeedには、犯罪性の高い匿名サービスの使用が確認されているIPが含まれます。
Tor Exit NodesこのFeedには、Torネットワークのアクティブな出口ノードとしてリストされたIPが含まれます。
Tor NodesこのFeedには、Torネットワークのアクティブ ノードとしてリストされたIPが含まれます。
Malware Domainswww.malwaredomains.comの情報に基づく、マルウェアと関係するドメインのリスト。
Malware IP Listwww.malwaredomainlist.comの情報に基づく、マルウェアと頻繁に関係するIPアドレスのリスト。
Previous Topic:RSA ECATとの統合
You are here

Table of Contents > RSA Live Feedを受信するためのECATの構成

Attachments

    Outcomes