Respondの構成:ステップ1. [対応]ビューにアラートを表示するためのアラート ソースの構成

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

アラート ソースからのアラートをNetWitness Respondに表示するには、この手順を実行する必要があります。[対応]ビューへのアラートの挿入を有効化または無効化することができます。デフォルトで、このオプションはReporting Engine、Malware Analytics、NetWitness Endpointで無効化されており、Event Stream Analysisでのみ有効化されています。そのため、対応するアラートを[対応]ビューに挿入するには、Respond Serverサービスをインストールした後、このオプションをReporting Engine、Malware Analytics、NetWitness Endpointで有効化しておく必要があります。

前提条件

次の事項を確認:

  • Respond ServerサービスがNetWitness Suiteにインストールされ、実行されている。
  • データベースがRespond Serverサービス用に構成されている。
  • NetWitness Endpointがインストールされ、実行されている。

Reporting Engineによってトリガーされたアラートを[対応]ビューに表示するようReporting Engineを構成

Reporting Engineのアラートは、[対応]ビューに表示されないようデフォルトで無効になっています。Reporting Engineのアラートを表示するには、[サービス]の[構成]ビューでReporting Engineの[全般]タブを開いて、NetWitness Respondアラートを有効化する必要があります。

  1. 管理>サービス]に移動して[Reporting Engine]サービスを選択し、[アクション]アイコン表示]>[構成]を選択します。
    [サービス]の[構成]ビューが表示され、Reporting Engineの[全般]タブが開きます。
  2. システム構成]を選択します。
  3. Respondへのアラート転送]のチェックボックスをオンにします。
    Reporting EngineによってアラートがNetWitness Respondに転送されるようになります。

[全般]タブのパラメータの詳細については、「Reporting Engine構成ガイド」の「Reporting Engineの[全般]タブ」トピックを参照してください。

Malware Analyticsによってトリガーされたアラートを[対応]ビューに表示するようMalware Analyticsを構成

NetWitness Respondアラートの表示は、Malware Analysisの監査機能の1つです。NetWitness Respondアラートを有効化する手順については、「Malware Analysis構成ガイド」の「(オプション)Malware Analysisホストの監査の構成」トピックで説明します。

NetWitness Endpointでトリガーされたアラートを[対応]ビューで表示するためのNetWitness Endpointの構成

ここでは、NetWitness EndpointとNetWitness Suiteを統合するのに必要な手順を紹介します。この手順を完了すると、NetWitness SuiteのNetWitness RespondコンポーネントによってNetWitness Endpointアラートが収集され、[対応]>[アラート]ビューに表示されるようになります。

注:NetWitness Respondの統合に関して、RSAはバージョン4.3.0.4、4.3.0.5、またはそれ以降のNetWitness Endpointをサポートします。詳細については、「NetWitness Endpointユーザ ガイド」の「RSA NetWitness Suite Integration」トピックを参照してください。

次の図は、NetWitness SuiteRespond ServerサービスへのNetWitness Endpointアラートの流れと対応>[アラート]ビューでの表示を示しています。

NetWitness Endpointにおいて、対応サービスにアラートを上げ、それが[対応]>[アラート]ビューに表示される流れ

NetWitness Endpointアラートを表示するようNetWitness Endpointを構成

NetWitness EndpointアラートをNetWitness Suiteユーザ インターフェイスに表示するようNetWitness Endpointを構成する方法:

  1. NetWitness Endpointユーザ インターフェイスで、[構成]>[監視と外部コンポーネント]をクリックします。

    External Components Configuration]ダイアログが表示されます。
    NetWitness Endpoint:[外部コンポーネントの構成]ダイアログ

  2. リストされているコンポーネントから[インシデント メッセージ ブローカー]を選択し、+をクリックして新しいIM brokerを追加します。
  3. 次のフィールドを入力します。

    1. インスタンス名:IM brokerを識別する一意の名前を入力します。
    2. サーバのホスト名/IPアドレス:IM brokerのホストDNSまたはIPアドレスを入力します(NetWitnessサーバ)。
    3. ポート番号:デフォルトのポートは5671です。
  4. 保存]をクリックします。
  5. C:\Program Files\RSA\ECAT\ServerConsoleServer.exe.Configファイルに移動します。
  6. 次のように、ファイルの仮想ホスト構成を変更します。
    <add key="IMVirtualHost" value="/rsa/system" />

  7. 注:NetWitness Suite11.0では、仮想ホストは「/rsa/system」です。バージョン10.6.x以前では、仮想ホストとは「rsa/sa」です。

  8. APIサーバとコンソール サーバを再起動します。

  9. Respondアラート用にSSLを設定するには、NetWitness Endpointプライマリ コンソール サーバで次の手順を実行し、SSL通信を設定します。

    1. ローカル コンピュータの個人証明書ストアから(秘密鍵を選択せずに)NetWitness EndpointのCA証明書を.CER形式(Base-64でエンコードされたX.509)でエクスポートします。
    2. NetWitness EndpointのCA証明書を使用して、NetWitness Endpointのクライアント証明書を生成します。(CN名を「ecat」に設定する必要があります)。

      makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "NWECA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer

      注:前述のコード サンプルで、以前のバージョンからEndpointバージョン4.3にアップグレードし、新しい証明書を生成していない場合、「NWECA」の代わりに「EcatCA」を使用する必要があります。

    3. ステップbで生成したクライアント証明書の拇印をメモしておきます。次に示すように、ConsoleServer.Exe.ConfigファイルのIMBrokerClientCertificateThumbprintセクションに、クライアント証明書の拇印の値を入力します。

      <add key="IMBrokerClientCertificateThumbprint" value="896df0efacf0c976d955d5300ba0073383c83abc"/>

  10. NetWitnessサーバで、.CER形式のNetWitness Endpoint CA証明書ファイルをインポート フォルダにコピーします。
    /etc/pki/nw/trust/import

  11. 次のコマンドを発行して、必要なChefの実行を開始します。
    orchestration-cli-client --update-admin-node
    これにより、すべての証明書がトラスト ストアに追加されます。

  12. RabbitMQサーバを再起動します。
    systemctl restart rabbitmq-server
    NetWitness Endpointアカウントは自動的にRabbitMQで利用可能になります。

  13. /etc/pki/nw/ca/nwca-cert.pem/etc/pki/nw/ca/ssca-cert.pemファイルをNetWitnessサーバからインポートし、Endpointサーバの信頼されたルート証明書ストアに追加します。
You are here
Table of Contents > NetWitness Respondの構成 > ステップ1. NetWitness Respondでアラートを表示するためのアラート ソースの構成

Attachments

    Outcomes