MA:基本的な設定

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

Malware Analysisは、Decoder上のサービスまたは専用アプライアンスサービス上のサービスとして動作できます。このガイドでは、動作環境を設定し、次にMalware Analysisサービスを構成する手順について説明します。この構成が完了すると、アナリストがマルウェア解析を実施できるようになります。

Malware Analysisの構成に必要なステップと、既存の構成の変更に必要なステップについて説明します。以降のセクションに示されている順にステップを実行してください。

基本的な構成チェックリスト

次のチェックリストは、「Hosts and Services Guide」に従ってNetWitness Suiteに追加されたMalware Analysisを構成するために必要なタスクの順序を示しています。

                                                   
ステップタスクの概要
ステップ1.Malware Analysis動作環境の構成

Malware Analysis動作環境の構成

このトピックでは、Malware Analysisサービスに接続するためにの環境を構成する手順について説明します。

ステップ2.Malware Analysisのホストとサービスの追加

Malware Analysisのホストとサービスの追加

注:この手順を完了するには、「ライセンス ガイド」に示されているNetWitness Suite License Serverの構成ステップを実行します。 

NetWitness Suiteで、Malware Analysisサービスを作成し、ライセンスをアクティブ化します。デフォルトのRESTポートは60007です。無料バージョンのMalware Analysisを使用しているサイトでは、サービスのIPアドレスをlocalhostまたはループバック アドレスとして構成する必要があります。

ステップ3.一般的なMalware Analysis設定の構成

一般的なMalware Analysis設定の構成

  • 常時スキャン構成を有効にします。
  • 手動でのファイル アップロードの制限を構成します。
  • ファイル ストレージ リポジトリとデータベースを構成します。
  • 静的、ネットワーク、コミュニティ、サンドボックスの各スコア モジュールを調整します。
ステップ4.セキュリティ侵害インジケータの構成

セキュリティ侵害インジケータの構成

各スコア モジュール(静的、ネットワーク、コミュニティ、サンドボックス)とYARAベースのIOCに適用されるセキュリティ侵害インジケータを調整します。

ステップ5.インストール済みのアンチウイルスソフト ベンダーの構成

インストール済みのアンチウイルスソフト ベンダーの構成

ステップ6.コミュニティ スコアリングの有効化

コミュニティ解析の有効化

RSAクラウドに登録して、コミュニティ スコアリングを有効化するための接続をテストします。

ステップ7.Malware Analysisホストの監査の構成

(オプション)Malware Analysisホストの監査の構成

監査の閾値を構成し、Syslog、SNMP、ファイルの監査を有効にします。

ステップ8.ハッシュ フィルタの構成

(オプション)ハッシュ フィルタの構成

ハッシュ フィルタを構成して、既知の無害なファイル ハッシュや有害なファイル ハッシュに基づいてMalware Analysisイベント解析を微調整します。

ステップ9.Malware Analysisのプロキシ設定の構成

(オプション)Malware Analysisのプロキシ設定の構成

(オプション)RSA Cloudと通信する際に、Webプロキシ経由で接続するようにMalware Analysisを構成します。

ステップ10.ThreatGrid APIキーの登録

(オプション)ThreatGrid APIキーの登録

You are here
Table of Contents > Malware Analysisの構成

Attachments

    Outcomes