RSANetWitness Suite自動脅威検出機能では、事前構成済みのESA Analyticsモジュールを使用して、データ ソースを自動的に分析できます。ESA Analyticsモジュールは、数学的計算を使用して追加情報でイベントを拡充するアクティビティ オブジェクトのパイプラインです。ESA Analyticsサービスでは、これらのモジュールを処理して高度な脅威を特定します。
Whoisルックアップ サービスの構成は、Suspicious Domainsモジュールの動作に必要です。
注:(重要)RSAでは、自動脅威検出のスコアリングの精度を高めるために、Whoisルックアップ サービスを構成することを強く推奨しています。
前提条件
- Whois Lookupサービスを使用するには、RSA Liveアカウントが必要です。
- 管理>[サービス]ビューでESA Analytics Sserverサービスを使用可能にする(緑色の丸いアイコンが表示されている)必要があります。
[Liveサービス]パネル([管理]>[システム]>[Liveサービス])でLiveアカウントを構成した場合は、Whoisルックアップ サービスが自動的に構成されます。Whoisルックアップ サービスの接続を確認する必要があります。
注:RSA Liveアカウントを持っていない場合は、RSA Live登録ポータル(
https://cms.netwitness.com/registration/)で作成できます。
「Liveサービス管理ガイド」に追加情報が記載されています。
Whoisルックアップ サービスの構成
- 管理>[システム]に移動します。
- [オプション]パネルで、[Whois]を選択します。
- [Whois Lookupサービスの構成]パネルで、Whois Lookupサービスが接続されているかどうかを確認します。接続されているサービスの場合は、パネルの下部、[Connected]の横に緑色の丸いアイコンが表示されます。
接続されている場合は、構成が完了しているため、残りのステップをスキップして構いません。詳細設定を調整するには、ステップ5に進みます。
サービスが接続されていない場合は、ステップ4に進みます。 - [Liveユーザ名]と[Liveパスワード]フィールドに、RSA Liveアカウント認証情報を入力してRSA Whoisサーバにアクセスします。
- 必要に応じて、詳細設定を調整することができます。ただし、RSAでは、デフォルト値の使用を推奨しています。詳細は「Whoisルックアップ サービスの構成」を参照してください。
- [接続のテスト]をクリックして接続をテストします。
接続に成功すると、[Connected]の横に緑色の丸いアイコンが表示されます。 - [Apply]をクリックして、変更内容を保存します。
Previous Topic:ESA Analyticsの構成
Next Topic:ESAデータ ソースのAnalyticsモジュールへのマッピング
You are here
Table of Contents > ESA Analyticsの構成 > Whoisルックアップ サービスの構成