メッセージ バス経由のECATアラートの構成

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

ここでは、Security AnalyticsとECATを統合するのに必要な手順を紹介します。この手順を完了すると、Security AnalyticsのIncident ManagementコンポーネントによってECATアラートが収集され、[インシデント]>[アラート]ビューに表示されるようになります。

次の図に、Security Analyticsのインシデント管理キューへのECATアラートの流れと、[インシデント]>[アラート]ビューでのアラートの表示方法を示します。

前提条件

以下の条件を満たしていることを確認します。

  • Incident Managementサービスがインストールされていて、Security Analytics 10.4以降で実行されていること。
  • ECAT 4.0以降がインストールされ実行されていること。

ECATの外部コンポーネントとしてのIncident Management Brokerの構成

ECATバージョン4.0の場合

メッセージ バス経由でアラートをSecurity Analyticsのユーザー インターフェイスに送信するようにECATを構成するには、次の手順を実行します。

  1. ECATのユーザー インタフェースを開き、適切な認証情報を使用してログインします。
  2. メニュー バーから[構成]>[監視と外部コンポーネント]を選択します。
    [Monitoring and External Components]ダイアログが表示されます。
  3. ダイアログ内の任意の場所を右クリックし、[Add Component]を選択します。
    [Add Component]ダイアログ ボックスが表示されます。
  4. 次の情報を入力します。
  • [Component Type]のドロップダウン オプションから、IM brokerを選択します。
  • IM brokerを識別するためのUnique Nameを入力します。
  • IM brokerのHost DNS or IP addressを入力します。
  • Port numberを入力します。
  1. 保存]>[閉じる]の順にクリックして、すべてのダイアログ ボックスを閉じます。

ECATバージョン4.1の場合

メッセージ バス経由でアラートをSecurity Analyticsのユーザー インターフェイスに送信するようにECATを構成するには、次の手順を実行します。

  1. ECATのユーザー インタフェースを開き、適切な認証情報を使用してログインします。
  2. メニュー バーから[構成]>[監視と外部コンポーネント]を選択します。
    [外部コンポーネントの構成]ダイアログが表示されます。
  3. インシデント メッセージ ブローカー]で、[+]をクリックして、IM(インシデント メッセージ)ブローカーを追加します。
    [インシデント メッセージ ブローカー]ダイアログが表示されます。
    ext-comp-im.png
  4. インシデント メッセージ ブローカー]の下にある[オン]に、メッセージ ブローカーの名前を入力します。
  5. Security Analyticsの接続]の下で、次の操作を実行します。
    1. サーバ ホスト名/IP]に、Security AnalyticsサーバのIPアドレスを入力します。
    2. ポート]をデフォルト値の[5671]にします。必要に応じて、フィールドを更新します。
  6. 保存]をクリックします。

Security Analytics BrokerでのECATのCA証明書の構成

インシデント管理アラートのSSLを設定するには、次の手順を実行します。

  1. ECATのプライマリ コンソール サーバで、ローカル コンピューターの個人用証明書ストアから(秘密鍵を選択せずに)ECATのCA証明書を.cer形式(Base-64エンコードX.509)でエクスポートします。
  2. ECATのプライマリ コンソール サーバで(ECAT makecert実行可能ファイルがあるコンピューターおよび場所から)、ECAT CA証明書を使用して、ECATのクライアント証明書を生成します。(CN名を「ecat」に設定する必要があります)。
    makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "EcatCA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer
  3. ECATのプライマリ コンソール サーバで、ステップ2で生成したクライアント証明書の拇印をメモしておきます。次のように、ConsoleServer.Exe ファイルのIMBrokerClientCertificateThumbprint セクションにクライアント証明書の拇印値を入力します。
    <add key="IMBrokerClientCertificateThumbprint" value="?896df0efacf0c976d955d5300ba0073383c83abc"/>

注:値フィールドに拇印の値を入力するときは、疑問符(?)を削除してから値を入力し、ファイルを保存してください。

  1. Security Analyticsサーバで、.cer形式のECAT CA証明書ファイル(ステップ1)の内容を追加します。
    /etc/puppet/modules/rabbitmq/files/truststore.pem
  2. Security Analyticsサーバで、次のいずれかを実行します。
  • 次のコマンドを実行して、Puppetエージェントを実行します:puppet agent -t
  • Security Analyticsサーバでエージェントが実行されるまで30分ほど待機してください。
  1. ECATプライマリ コンソール サーバで、Security Analyticsサーバから、信頼されたルート証明機関ストアに /var/lib/puppet/ssl/certs/ca.pem ファイルをインポートします。
    この手順により、ECATがクライアントとしてIncident Managementサーバの証明書を信頼します。
  2. ECATサーバを再起動して、ECATを有効にし、Security Analyticsにアラートが送信されるようにします。
You are here
Table of Contents > メッセージ バス経由のECATアラートの構成

Attachments

    Outcomes