ESA構成:Whoisルックアップ サービスの構成 89068

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

[Whoisルックアップ構成]パネル([管理]>[システム]>[Whois])で、RSAの自動脅威検出で使用される事前構成済みのESA AnalyticsモジュールのWhoisルックアップ サービスへの接続を構成します。Whoisサービスを使用して、接続先のドメインに関する正確なデータを取得できます。有効なスコア計算を行うには、Whoisサービス設定を構成することが重要です。

このサービスを使用するには、RSA Liveアカウントが必要です。

[Liveサービス]パネル([管理]>[システム]>[Liveサービス])でLiveアカウントを構成した場合は、Whoisルックアップ サービスが自動的に構成されます。Whoisルックアップ サービスの接続を確認する必要があります。

注:RSA Liveアカウントを持っていない場合は、RSA Live登録ポータル(
https://cms.netwitness.com/registration/)で作成できます。
Live サービス管理ガイド」に追加情報が記載されています。

どうしますか?

                       
ロール 処理オプション...方法を確認する
管理者

Whoisルックアップ サービスを構成します。

Whoisルックアップ サービスの構成

管理者

Whoisルックアップ サービスの接続を確認します。

Whoisルックアップ サービスの構成

関連トピック

Whoisルックアップ サービスの構成

Whoisルックアップ サービスの構成にアクセスするには、[管理]>[システム]に移動し、[オプション]パネルで[Whois]を選択します。

[管理]>[サービス]ビューでESA Analyticsサーバ サービスを使用可能にする(緑色の丸いアイコンが表示されている)必要があります。使用可能なESA Analyticsサーバ サービスがない場合は、次のパネルが表示されます。

使用可能なESA Analyticsサービスがない[Whoisルックアップ サービス]パネル

使用可能なESA Analyticsサーバ サービスがある場合は、次のパネルが表示されます。

[Whoisルックアップ サービスの構成]パネル

次の表は、表示される[Whoisルックアップ サービスの構成]の設定について説明しています。

                                                   
パラメーター説明
Liveユーザー名

Whoisルックアップ サービスをまだ構成していない場合にのみ必要です。  RSA Whoisサーバの認証情報を入力します。これは、RSA LiveユーザーIDと同じです。RSA Liveアカウントを構成していない場合は、構成する必要があります。 

デフォルト値は「whois」です。

Liveパスワード

Whoisルックアップ サービスをもう構成してある場合にのみ必要です。 RSA Whoisサーバの認証情報を入力します。これは、RSA Liveパスワードと同じです。RSA Liveアカウントを構成していない場合は、構成する必要があります。 

デフォルト値はnullです。

許可されるリクエスト

(オプション)Whoisサービスへのリクエスト量の調整を開始するまでに許可するクエリーの数を入力します。このパラメーターは、クエリーの間隔を設定する許可されるリクエスト間隔(秒単位)と連携します。たとえば、[許可されるリクエスト]を100に設定し、[許可されるリクエスト間隔]を60に設定した場合、60秒間で100個のリクエストが許可されます。

デフォルト値は100です。

許可されるリクエスト間隔

(オプション)許可されるリクエスト パラメーターを設定した場合は、この設定も構成して間隔を決定する必要があります。この値は環境に合わせて調整する必要があります。

デフォルト設定は60秒です。

キューの最大サイズ

(オプション)RSA Whoisサービスに対するドメイン リクエストのキューの最大サイズを指定します。

デフォルトは100,000です。

キャッシュの最大サイズ

(オプション)キャッシュされるWhoisエントリーの最大数を指定します。この制限に達すると、最も使用されていないエントリーが削除されて、新しいエントリーが格納されます。

デフォルトは50,000です。

更新間隔(日数)

(オプション)更新間隔の日数を指定します。リクエストされたWhois情報がキャッシュから検出され、そのキャッシュ エントリーが指定された日数を超えてキャッシュに存在していた場合、そのエントリーはキャッシュから削除され、リクエストは再検索のためにWhoIsサービスのキューに追加されます。(このキャッシュ エントリーは、古くなった情報としてリクエストに返されます)。

デフォルト設定は30日です。

HTTPリクエストを待機します

(オプション)ESAに、Whoisサービスからの応答が返るまで、モジュールの実行を完了しないよう要求します。これにより、Whoisデータは常に結果に含まれるようになりますが、ESAはWhoisサービスの応答を最大30秒間待機するため、パフォーマンスに影響する可能性があります。

この設定を構成しない場合、レスポンスが遅い場合には、ESAはWhoisデータなしでイベントの解析を完了し、Whoisデータなしでスコアを計算します。

デフォルト設定はtrueです。 

URLのクエリー

(オプション)RSA WhoisサービスからWhoisデータを取得するURLを入力します。末尾にスラッシュ(/)が必要です。スラッシュがない場合、リクエストは失敗します。

デフォルト値はhttps://cms.netwitness.com/whois/v2/query/です。

認証URL

(オプション)RSA Whoisサービスから認証トークンを取得するURLを入力します。

デフォルト値はhttps://cms.netwitness.com/authlive/authenticate/WHOISです。

You are here
Table of Contents > 参考情報 > Whoisルックアップ サービスの構成

Attachments

    Outcomes