MA:Malware Analysis動作環境の構成

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

 

NetWitness Suite Malware Analysisサービスに接続するNetWitness Suiteオペレーティング環境を構成できます。

Malware Analysisは、Malware Analysis専用アプライアンス上のサービスとして動作します。専用アプライアンスを使用する場合は、次のいずれかのタスクを実行します。

  • サイトで新しいNetWitness Suite Malware Analysis専用アプライアンスを追加する場合には、ネットワークに物理アプライアンスをインストールして動作環境を構成します。
  • ご使用のサイトでSpectrum専用アプライアンスをNetWitness Suite Malware Analysis専用アプライアンスにアップグレードする場合は、SpectrumアプライアンスをMalware Analysisアプライアンスとして再初期化します。

Malware Analysisは、コア インフラストラクチャと協調して動作します。Malware Analysisで正しくデータを解析するには、次のステップを実行する必要があります。

  1. Malware AnalysisアプライアンスのオンボードBrokerを、既存のコア インフラストラクチャの別のBrokerまたはConcentratorに接続するように構成します。

注:コア インフラストラクチャが存在しない場合は、手動でアップロードされたファイルのみを解析することができます。

  1. NetWitness Suite Liveを使用して、malware analysisタグを持つすべてのLiveリソースを検索し、Malware Analysisで解析するトラフィックをキャプチャする各Decoderサービスにこれらのリソースを導入します。NetWitness Suiteは、ParserとFeedのこの独自のセットを使用して、マルウェアの可能性があるイベントを検索します。
  2. 通信ポートを構成します。Malware Analysisを実行するには、HTTPS用のTCP/443など、複数の通信ポートが開いている必要があります。これらについては、後述の「ネットワーク接続」セクションで説明します。
  3. Malware Analysisが接続する先のNextGenソースを構成します。これはBrokerまたはConcentratorです。
    これで、Malware Analysisを使用してネットワーク トラフィックの解析を開始する準備ができました。

ネットワーク接続

Malware Analysisアプライアンスがサービスやソフトウェア アップデートをRSAソースから受信したり、その他の重要な情報を外部と通信したりできるようにしておくために、ネットワーク接続を構成しておく必要があります。

ネットワーク環境のファイアウォールで、Malware Analysisによるインターネットへのアクセスを許可するように構成する必要があります。必要に応じて、プロキシ サーバを使用することもできます。

インバウンド接続

TCP/22:ログ ファイルを調べてトラブルシューティングを行うためのMalware AnalysisサーバへのSecure Shellアクセス。アクセスは、Malware Analysisを管理する端末のIPアドレスに制限できます。

  • TCP/443:Malware Analysisユーザ インタフェースにアクセスするためのWebベースのHTTPS接続。
  • TCP/50008:JVisualVMなどのアプリケーションを使用して、パフォーマンスのトラブルシューティングを行うためのJMXポート。これはオプションです。アクセスは、Malware Analysisを管理する端末のIPアドレスに制限できます。

アウトバウンド接続

  • TCP/443:SSLベースのWebサーバへのHTTPS接続。Malware Analysisで解析のためにサーバにファイルやドキュメントを送信する場合など、セキュア接続を必要とする機能で使用されます。Webプロキシ サーバの使用がサポートされています。
  • (TCP/443:Malware AnalysisからRSA CloudへのSSL接続。SOCKSプロキシ サーバの使用がサポートされています。既存のユーザは、cloud.netwitness.comへの接続用に443を開くようにインフラストラクチャの変更が必要になる場合があります)。
  • TCP/50103:Brokerと通信するために使用されるREST APIポート(NetWitness Suite 10.3.x以前)。
  • TCP/50105:Concentratorと通信するために使用されるREST APIポート(NetWitness Suite 10.3.x以前)。
  • TCP/50003 TCP/56003:Brokerと通信するために使用されるポート(NetWitness Suite 10.4以降)。
  • TCP/50005 TCP/56005:Concentratorと通信するために使用されるポート(NetWitness Suite 10.4以降)。
  • ICMP:ホスト名とIPアドレスが有効かどうかを確認するためのNetWitness SuiteからMalware Analysisサービスへの接続テスト用のJMS接続。
You are here
Table of Contents > Malware Analysisの構成 > ステップ1. Malware Analysis動作環境の構成

Attachments

    Outcomes