アラート ソースからのアラートをNetWitness Respondに表示するには、この手順を実行する必要があります。[対応]ビューへのアラートの挿入を有効化または無効化することができます。デフォルトで、このオプションはReporting Engine、Malware Analytics、NetWitness Endpointで無効化されており、Event Stream Analysisでのみ有効化されています。そのため、対応するアラートを[対応]ビューに挿入するには、Respond Serverサービスをインストールした後、このオプションをReporting Engine、Malware Analytics、NetWitness Endpointで有効化しておく必要があります。
前提条件
次の事項を確認:
- Respond ServerサービスがNetWitness Suiteにインストールされ、実行されている。
- データベースがRespond Serverサービス用に構成されている。
- NetWitness Endpointがインストールされ、実行されている。
Reporting Engineによってトリガーされたアラートを[対応]ビューに表示するようReporting Engineを構成
Reporting Engineのアラートは、[対応]ビューに表示されないようデフォルトで無効になっています。Reporting Engineのアラートを表示するには、[サービス]の[構成]ビューでReporting Engineの[全般]タブを開いて、NetWitness Respondアラートを有効化する必要があります。
- 管理> [サービス]に移動して[Reporting Engine]サービスを選択し、
>[表示]>[構成]を選択します。
[サービス]の[構成]ビューが表示され、Reporting Engineの[全般]タブが開きます。 - [システム構成]を選択します。
- [Respondへのアラート転送]のチェックボックスをオンにします。
Reporting EngineによってアラートがNetWitness Respondに転送されるようになります。
[全般]タブのパラメータの詳細については、「Reporting Engine構成ガイド」の「Reporting Engineの[全般]タブ」トピックを参照してください。
Malware Analyticsによってトリガーされたアラートを[対応]ビューに表示するようMalware Analyticsを構成
NetWitness Respondアラートの表示は、Malware Analysisの監査機能の1つです。NetWitness Respondアラートを有効化する手順については、「Malware Analysis構成ガイド」の「(オプション)Malware Analysisホストの監査の構成」トピックで説明します。
NetWitness Endpointでトリガーされたアラートを[対応]ビューで表示するためのNetWitness Endpointの構成
ここでは、NetWitness EndpointとNetWitness Suiteを統合するのに必要な手順を紹介します。この手順を完了すると、NetWitness SuiteのNetWitness RespondコンポーネントによってNetWitness Endpointアラートが収集され、[対応]>[アラート]ビューに表示されるようになります。
注:NetWitness Respondの統合に関して、RSAはバージョン4.3.0.4、4.3.0.5、またはそれ以降のNetWitness Endpointをサポートします。詳細については、「NetWitness Endpointユーザ ガイド」の「RSA NetWitness Suite Integration」トピックを参照してください。
次の図は、NetWitness SuiteRespond ServerサービスへのNetWitness Endpointアラートの流れと対応>[アラート]ビューでの表示を示しています。
NetWitness Endpointアラートを表示するようNetWitness Endpointを構成
NetWitness EndpointアラートをNetWitness Suiteユーザ インターフェイスに表示するようNetWitness Endpointを構成する方法:
-
NetWitness Endpointユーザ インターフェイスで、[構成]>[監視と外部コンポーネント]をクリックします。
- リストされているコンポーネントから[インシデント メッセージ ブローカー]を選択し、+をクリックして新しいIM brokerを追加します。
-
次のフィールドを入力します。
- インスタンス名:IM brokerを識別する一意の名前を入力します。
- サーバのホスト名/IPアドレス:IM brokerのホストDNSまたはIPアドレスを入力します(NetWitnessサーバ)。
- ポート番号:デフォルトのポートは5671です。
- [保存]をクリックします。
- C:\Program Files\RSA\ECAT\ServerのConsoleServer.exe.Configファイルに移動します。
-
次のように、ファイルの仮想ホスト構成を変更します。
<add key="IMVirtualHost" value="/rsa/system" /> -
APIサーバとコンソール サーバを再起動します。
-
Respondアラート用にSSLを設定するには、NetWitness Endpointプライマリ コンソール サーバで次の手順を実行し、SSL通信を設定します。
- ローカル コンピュータの個人証明書ストアから(秘密鍵を選択せずに)NetWitness EndpointのCA証明書を.CER形式(Base-64でエンコードされたX.509)でエクスポートします。
-
NetWitness EndpointのCA証明書を使用して、NetWitness Endpointのクライアント証明書を生成します。(CN名を「ecat」に設定する必要があります)。
makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "NWECA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer
注:前述のコード サンプルで、以前のバージョンからEndpointバージョン4.3にアップグレードし、新しい証明書を生成していない場合、「NWECA」の代わりに「EcatCA」を使用する必要があります。
-
ステップbで生成したクライアント証明書の拇印をメモしておきます。次に示すように、ConsoleServer.Exe.ConfigファイルのIMBrokerClientCertificateThumbprintセクションに、クライアント証明書の拇印の値を入力します。
<add key="IMBrokerClientCertificateThumbprint" value="896df0efacf0c976d955d5300ba0073383c83abc"/>
-
NetWitnessサーバで、.CER形式のNetWitness Endpoint CA証明書ファイルをインポート フォルダにコピーします。
/etc/pki/nw/trust/import -
次のコマンドを発行して、必要なChefの実行を開始します。
orchestration-cli-client --update-admin-node
これにより、すべての証明書がトラスト ストアに追加されます。 -
RabbitMQサーバを再起動します。
systemctl restart rabbitmq-server
NetWitness Endpointアカウントは自動的にRabbitMQで利用可能になります。 - /etc/pki/nw/ca/nwca-cert.pemと/etc/pki/nw/ca/ssca-cert.pemファイルをNetWitnessサーバからインポートし、Endpointサーバの信頼されたルート証明書ストアに追加します。
注:NetWitness Suite11.0では、仮想ホストは「/rsa/system」です。バージョン10.6.x以前では、仮想ホストとは「rsa/sa」です。