繰り返しFeedを通じたECATからのコンテキスト データの構成

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Security AnalyticsでRSA ECATデータを使用する方法を構成し、ECATからDecoderおよびLog Decoderセッションにコンテキスト データを提供するための手順について説明します。この構成では、コンテキスト メタ値の他、Security Analyticsエコシステムのその他のメタデータとの相関を構築するときに使用できるインスタントIOCアラートが追加されます。

管理者は、Security Analytics Liveの繰り返しFeedを介してECATシステムからのスキャン コンテキスト データを使用するようにSecurity Analyticsを構成できます。この統合により、DecoderまたはLog Decoderからのセッションに対して、Security Analytics Investigationにコンテキスト情報が表示されるようになります。これらの情報には、ホスト オペレーティング システム、MACアドレス、スコアなど、DecoderまたはLog Decoderからのセッションのログまたはパケット データには存在しないデータが含まれます。

注:この機能は、パケットDecoderを使用する環境を対象にしていますが、繰り返しFeedはLog Decoderにも実装できます。

注意:多数のECATホストがある環境では、繰り返しFeedを使用することで、Security Analyticsの収集デバイス(DecoderおよびLog Decoder)のパフォーマンスが低下する場合があります。

前提条件

  • バージョン4.0以降のECATコンソール サーバおよびSecurity Analyticsサーバ バージョン10.4以降がインストールされている必要があります。
  • バージョン10.4以降のRSA DecoderおよびConcentratorがネットワーク内のSecurity Analyticsサーバに接続されている必要があります。

構成

この統合を構成するには、次の手順を実行します。

  1. ECATユーザー インターフェイスでSecurity AnalyticsのECAT Feedを有効化します。
  2. ECATコンソール サーバからECAT CA証明書をエクスポートし、Security Analyticsトラスト ストアにインポートします。
  3. Security Analytics Concentratorサービスを構成して、インデックスを作成するメタ キーを定義します。
  4. Security Analytics Liveで繰り返しFeedを作成します。

Security analyticsのECAT Feedを有効化します。

ECATバージョン4.0の場合

  1. ECATのユーザー インタフェースを開き、適切な認証情報を使用してログオンします。
  2. メニュー バーから[構成]>[外部コンポーネントの監視]を選択します。

    [Add Components]ダイアログが表示されます。

     

  3. Security Analyticsコンポーネントを追加します。[Unique Name]と[Host DNS or IP]に値を入力し、[Settings]をクリックします。

    [Configure Security Analytics]ダイアログが表示されます。

    EcatConfSADialog.png

  4. タイムゾーン]を有効にし、[Feed構成]タブをクリックします。

    EcatFeedConfTb.png

  5. ECAT Feedを有効化]をオンにし、[ユーザー名]と[パスワード]に値を入力します。[Feed Publishing Interval]を構成します。[保存]をクリックします。

    Feedが作成されます。

  6. Feedに割り当てられたURL、ユーザー名、パスワードをメモに記録します。この情報は、Security Analyticsで使用されます。
  7. Feedが正常に作成されたことを確認するために、ブラウザを開き、URLを入力します。プロンプトが表示されたら、ユーザー名とパスワードを入力します。machines.csvという名前のファイルがダウンロードされるかどうかを確認します。

ECATバージョン4.1の場合

ECATユーザー インタフェースで、次の手順を実行します。

  1. ECATでSQLユーザーを作成します。
    1. ECATのユーザー インタフェースを開き、適切な認証情報を使用してログオンします。
    2. [セキュリティ]の下で、パネルを右クリックし、[SQLユーザーの作成]を選択します。
      [新しいSQLユーザーの作成]ダイアログが表示されます。
      create-sql-usr.png
    3. ログイン名とパスワードを指定します。
  2. メニュー バーから[構成]>[外部コンポーネントの監視]を選択します。
    [外部コンポーネントの構成]ダイアログが表示されます。
    ext-comp-config.png
  3. Security Analyticsで、[+]をクリックします。
    [Security Analytics]ダイアログが表示されます。
    sa_ecat.png
  4. Security Analytics]の下にある[オン]に、Security Analyticsコンポーネントを識別する名前を入力します。
  5. Security Analyticsの接続]の下で、次の操作を実行します。
    1. サーバ ホスト名/IP]に、Security Analyticsサーバのホスト名またはIPアドレスを入力します。
    2. ポート]をデフォルト値の[443]にします。必要に応じて、フィールドを更新します。
  6. Security Analyticsの構成]の下で、次の操作を実行します。
    1. サーバのタイム ゾーン]に、コンポーネントのタイム ゾーンを入力します。
    2. [デバイスの識別子]に、Security Analytics ConcentratorのデバイスIDを入力します。
  7. 注:[調査]>[ナビゲート]>[<ConcentratorまたはBrokerの名前>]でConcentratorまたはBrokerを検索すると、Security Analyticsのデバイスの識別子が見つかります。デバイスの識別子は、URL内の「investigation」の後の数字です。たとえば、URLがhttps://<IP address>investigation/319/navigate/valuesの場合、デバイスの識別子は319です。

    保存]をクリックすると、[URI]フィールドが設定されます。

  8. クエリーの最適化]で、次の操作を実行します。
    1. 最小値]に、最小のクエリー時間範囲を分単位で入力します。この値を使用して、Security Analyticsに送信される時間範囲を自動的に増加させます。これにより、ECATエージェントの報告された時刻がSecurity Analyticの時刻とわずかに異なる場合、クエリーが肯定的な応答を返すようになります。
    2. 最大値]に、時間範囲の制限を分単位で入力します。この値を使用して、Security Analyticsに送信される時間範囲が自動的に制限されるため、クエリーがSecurity Analyticsサーバを過負荷にすることはありません。
    3. 古いクエリーを実行しない]に、クエリー期間の制限を日数で入力します。この機能を無効にする場合は、「0」を入力します。
  9. SAのECAT Feedの構成]で、次の操作を実行します。
    1. ECAT Feedを有効化]を選択します。
    2. SQLユーザー名パスワード(ステップ1で構成した)を入力し、Feedの場所にアクセスします。
      保存]をクリックすると、[URL]フィールドが設定されます。
    3. Feedが発行される頻度の時間間隔を入力します。
  10. 保存]をクリックします。
    Feedが作成されます。

ECAT SSL証明書のエクスポート

注:Java 8のサポートはSecurity Analytics 10.5に対して追加されたため、この手順は10.5以上にのみ適用されます。それより前のバージョンのSecurity Analyticsを使用している場合は、このガイドで該当するバージョンを参照してください。

ECATコンソール サーバからECAT CA証明書をエクスポートし、それをSecurity Analyticsホストにコピーするには、次の手順を実行します。

  1. ECATコンソールにログオンします。
  2. MMCを開きます。
  3. コンピューター アカウント用の証明書スナップインを追加します。
  4. EcatCAという名前の証明書をエクスポートします。
    1. 秘密鍵なしでエクスポートします。
    2. DERエンコード バイナリX.509(.CER))形式でエクスポートします。
    3. EcatCA.cerという名前を付けます。
  5. Security AnalyticsホストにECAT CA証明書をコピーします。
    scp EcatCA.cer root@<sa-machine>:.
  6. ECAT CA証明書をSecurity Analyticsトラスト ストアにインポートするには、次のコマンドを実行します。
    1. 次のコマンドを使用して、Security AnalyticsにインストールされているJavaバージョンを確認します。
      java –version
      openjdkバージョンが表示されます。例:openjdk version "1.8.0_71"

    注:openjdkバージョンは、Security Analyticsのバージョンに応じて異なる場合があります。

    1. JDKパラメーターを設定するには、javaディレクトリに移動します。以下のコマンドを実行します。
      JDK=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.65-0.b17.el6_7.x86_64/jre/
      $JDK/bin/keytool -import -v -trustcacerts -alias ecatca -file ~/EcatCA.cer -keystore $JDK/lib/security/cacerts -storepass changeit

      証明書更新の確認のプロンプトが表示されたら、「Yes」と入力します。
  7. Security Analyticsホスト上で /etc/hostsを編集して、ECATコンソール サーバのIPアドレスをecatserverexportedという名前にマップします。次の行をファイルに追加します。
    <ip-address-ecat-cs> ecatserverexported
  8. Security Analyticsホストを再起動するために、次のコマンドを実行します。
    stop jettysrv
    start jettysrv

Security Analyticsでの繰り返しカスタムFeedタスクの構成

Security Analyticsで繰り返しFeedタスクを構成するには、次の手順を実行します。

  1. Security Analyticsにログオンし、[Live]>[Feed]に移動します。
  2. [カスタムFeed]>[次へ]を選択します。
  3. 次の操作を実行します。
    • 繰り返し]を選択します。
    • 名前を入力します。例:EcatFeed
    • ECATがインストールされているWindowsサーバのURLとホスト名を入力します。
      • RSA ECATバージョン4.0の場合は、https://<EcatServerHostname>:9443/ext/feed/machines.csvというURLを使用します。
      • RSA ECATバージョン4.1の場合は、https://<EcatServerExported>:9443/api/v2/feed/machines.csvというURLを使用します。
  4. 認証情報]チェックボックスをオンにし、前述の「{{SA}}のECAT Feedの有効化」でメモに記録したユーザー名とパスワードを入力します。
  5. 検証]を選択して、Security AnalyticsがWebリソースにアクセスできることを確認します。
  6. スケジュールを定義します。[次へ]をクリックします。
    EcatDefineLiveFeed.png
  7. サービスの選択]タブで、Feedを使用するDecoderまたはグループを選択します。次へをクリックします。
  8. 列の定義]タブで、次の表に従って列名を入力し、Feedを保存します。
    EcatDefColLive.png

次の表に、ECAT Feed用のCSVファイルの列を示します。

                                                                             
名前説明Security Analyticsでの列名(メタ キー名)
1MachineNameWindowsエージェントのホスト名alias.host
2LocalIpIPv4アドレスIndex
3RemoteIpルーターで検出されるリモートIPstransaddr
4GatewayIpゲートウェイのIPgateway
5MacAddressMACアドレスeth.src
6OperatingSystemWindowsエージェントで使用されているオペレーティング システムOS
7AgentIDホストのAgent ID(Agentに割り当てられた一意のID)client
8ConnectionUTCTimeエージェントが最後にECATサーバに接続した時刻ecat.ctime
9Source DomainDomaindomain.src
10ScanUTC timeエージェントが前回スキャンされた時刻ecat.stime
11Machine Scoreエージェントのスコアrisk.num

注:この表では、推奨されるインデックス設定は、LocalIpです。ただし、DHCPサーバによってECATエージェントPCのLocalIpが割り当てられるが、DHCPリースの有効期限が切れている場合、およびIPが別のPCに再割り当てされる場合は、Feedによって作成されるメタデータが不適切になります。このリスクを回避するには、localIPアドレスの代わりに、マシン名またはMACアドレスをFeedのインデックスとして使用します。たとえば、MACアドレスを使用する場合は、次の図に示されている値を入力できます。

ecatfeed_mac.png

Security Analytics Concentratorサービスの構成

  1. Security Analyticsにログオンし、[Administration]>[サービス]に移動します。
  2. リストからConcentratorを選択して、[表示]>[構成]を選択します。
  3. ファイル]タブを選択し、[編集するファイル]プルダウン メニューから、index-concentrator-custom.xmlを選択します。
  4. 次のECATメタ キーをファイルに追加し、[適用]をクリックします。このファイルにはXMLセクションがすでに含まれることに注意してください。例を次に示します。構成と値がFeed定義に含まれる列名に一致することを確認してください。ここで、
    descriptionは、Security Analytics Investigationで表示されるメタ キー名です。
    levelは「IndexValues」です。
    nameは、繰り返しFeedを定義する際にSecurity Analyticsが使用するCSVファイルの列名と一致します。
    たとえば、次のように、メタ キーにインデックスを付けることができます。
    <key description="Gateway" format="Text" level="IndexValues" name="gateway" valueMax="250000" defaultAction="Open"/>
    <key description="Risk Number" format="Float64" level="IndexValues" name="risk.num" valueMax="250000" defaultAction="Open"/>
    <key description="Strans Addr" format="Text" level="IndexValues" name="stransaddr" valueMax="250000" defaultAction="Open"/>
    <key description="Ecat Scan Time" format="Text" level="IndexValues" name="ecat.stime" valueMax="250000" defaultAction="Open"/>
    <key description="Ecat Connection Time" format="Text" level="IndexValues" name="ecat.ctime" valueMax="250000" defaultAction="Open"/>

注:デフォルトのファイル(index-concentrator.xml)でインデックスが付けられていないECAT Feed関連のメタ キーは、上の例に示すように、要件に従ってインデックスを付けることができます。

次の図は、すべてのECAT Feed関連のメタ キーのリストです。

                                                                             
名前説明Security Analyticsでの列名(メタ キー名)
1MachineNameWindowsエージェントのホスト名alias.host
2LocalIpIPv4アドレスindex
3RemoteIpルーターで検出されるリモートIPstransaddr
4GatewayIpゲートウェイのIPgateway
5MacAddressMACアドレスeth.src
6OperatingSystemWindowsエージェントで使用されているオペレーティング システムOS
7AgentIDホストのAgent ID(Agentに割り当てられた一意のID)client
8ConnectionUTCTimeエージェントが最後にECATサーバに接続した時刻ecat.ctime
9Source DomainDomaindomain.src
10ScanUTC timeエージェントが前回スキャンされた時刻ecat.stime
11Machine Scoreエージェントのスコアrisk.num
  1. Concentratorを再起動して、カスタム キーの更新をアクティブ化します。

結果

インデックスが付けられた値(ip.src)が一致したときに、FeedデータをSecurity Analyticsで表示する場合は、該当するメタ データが、Investigation、Reporting、Alertingの各インターフェイスに表示されるようになります。

トラブルシューティング

このセクションでは、繰り返しFeedの使用時に発生する問題の解決方法を提案します。

             
既知の問題解決策
ECAT 4.1.0.2とECAT 4.1.1では、Security Analyticsに対してECAT Feedの統合が機能しません。Feedを利用するには、ECAT 4.1.1.1を使用する必要があります。
You are here
Table of Contents > 繰り返しFeedを通じたECATからのコンテキスト データの構成

Attachments

    Outcomes