Respondの構成：ステップ1. ［対応］ビューにアラートを表示するためのアラート ソースの構成

アラート ソースからのアラートをNetWitness Respondに表示するには、この手順を実行する必要があります。［対応］ビューへのアラートの挿入を有効化または無効化することができます。デフォルトで、このオプションはReporting Engine、Malware Analytics、NetWitness Endpointで無効化されており、Event Stream Analysisでのみ有効化されています。そのため、対応するアラートを［対応］ビューに挿入するには、Respond Serverサービスをインストールした後、このオプションをReporting Engine、Malware Analytics、NetWitness Endpointで有効化しておく必要があります。

前提条件

次の事項を確認：

• Respond ServerサービスがNetWitness Suiteにインストールされ、実行されている。
• データベースがRespond Serverサービス用に構成されている。
• NetWitness Endpointがインストールされ、実行されている。

Reporting Engineによってトリガーされたアラートを［対応］ビューに表示するようReporting Engineを構成

Reporting Engineのアラートは、［対応］ビューに表示されないようデフォルトで無効になっています。Reporting Engineのアラートを表示するには、［サービス］の［構成］ビューでReporting Engineの［全般］タブを開いて、NetWitness Respondアラートを有効化する必要があります。

1. 管理＞ ［サービス］に移動して［Reporting Engine］サービスを選択し、＞［表示］＞［構成］を選択します。
   ［サービス］の［構成］ビューが表示され、Reporting Engineの［全般］タブが開きます。
2. ［システム構成］を選択します。
3. ［Respondへのアラート転送］のチェックボックスをオンにします。
   Reporting EngineによってアラートがNetWitness Respondに転送されるようになります。

［全般］タブのパラメータの詳細については、「Reporting Engine構成ガイド」の「Reporting Engineの［全般］タブ」トピックを参照してください。

Malware Analyticsによってトリガーされたアラートを［対応］ビューに表示するようMalware Analyticsを構成

NetWitness Respondアラートの表示は、Malware Analysisの監査機能の1つです。NetWitness Respondアラートを有効化する手順については、「Malware Analysis構成ガイド」の「（オプション）Malware Analysisホストの監査の構成」トピックで説明します。

NetWitness Endpointでトリガーされたアラートを［対応］ビューで表示するためのNetWitness Endpointの構成

ここでは、NetWitness EndpointとNetWitness Suiteを統合するのに必要な手順を紹介します。この手順を完了すると、NetWitness SuiteのNetWitness RespondコンポーネントによってNetWitness Endpointアラートが収集され、［対応］＞［アラート］ビューに表示されるようになります。

注：NetWitness Respondの統合に関して、RSAはバージョン4.3.0.4、4.3.0.5、またはそれ以降のNetWitness Endpointをサポートします。詳細については、「NetWitness Endpointユーザ ガイド」の「RSA NetWitness Suite Integration」トピックを参照してください。

次の図は、NetWitness SuiteRespond ServerサービスへのNetWitness Endpointアラートの流れと対応＞［アラート］ビューでの表示を示しています。

NetWitness Endpointアラートを表示するようNetWitness Endpointを構成

NetWitness EndpointアラートをNetWitness Suiteユーザ インターフェイスに表示するようNetWitness Endpointを構成する方法：

1. NetWitness Endpointユーザ インターフェイスで、［構成］＞［監視と外部コンポーネント］をクリックします。

   ［External Components Configuration］ダイアログが表示されます。
   

2. リストされているコンポーネントから［インシデント メッセージ ブローカー］を選択し、+をクリックして新しいIM brokerを追加します。

3. 次のフィールドを入力します。

   1. インスタンス名：IM brokerを識別する一意の名前を入力します。
   2. サーバのホスト名/IPアドレス：IM brokerのホストDNSまたはIPアドレスを入力します（NetWitnessサーバ）。
   3. ポート番号：デフォルトのポートは5671です。
4. ［保存］をクリックします。
5. C:\Program Files\RSA\ECAT\ServerのConsoleServer.exe.Configファイルに移動します。

6. 次のように、ファイルの仮想ホスト構成を変更します。
   <add key="IMVirtualHost" value="/rsa/system" />
   

注：NetWitness Suite11.0では、仮想ホストは「/rsa/system」です。バージョン10.6.x以前では、仮想ホストとは「rsa/sa」です。

7. APIサーバとコンソール サーバを再起動します。

8. Respondアラート用にSSLを設定するには、NetWitness Endpointプライマリ コンソール サーバで次の手順を実行し、SSL通信を設定します。

   1. ローカル コンピュータの個人証明書ストアから（秘密鍵を選択せずに）NetWitness EndpointのCA証明書を.CER形式（Base-64でエンコードされたX.509）でエクスポートします。

   2. NetWitness EndpointのCA証明書を使用して、NetWitness Endpointのクライアント証明書を生成します。（CN名を「ecat」に設定する必要があります）。

      makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "NWECA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer

      注：前述のコード サンプルで、以前のバージョンからEndpointバージョン4.3にアップグレードし、新しい証明書を生成していない場合、「NWECA」の代わりに「EcatCA」を使用する必要があります。

   3. ステップbで生成したクライアント証明書の拇印をメモしておきます。次に示すように、ConsoleServer.Exe.ConfigファイルのIMBrokerClientCertificateThumbprintセクションに、クライアント証明書の拇印の値を入力します。

      <add key="IMBrokerClientCertificateThumbprint" value="896df0efacf0c976d955d5300ba0073383c83abc"/>

9. NetWitnessサーバで、.CER形式のNetWitness Endpoint CA証明書ファイルをインポート フォルダにコピーします。
   /etc/pki/nw/trust/import

10. 次のコマンドを発行して、必要なChefの実行を開始します。
    orchestration-cli-client --update-admin-node
    これにより、すべての証明書がトラスト ストアに追加されます。

11. RabbitMQサーバを再起動します。
    systemctl restart rabbitmq-server
    NetWitness Endpointアカウントは自動的にRabbitMQで利用可能になります。

12. /etc/pki/nw/ca/nwca-cert.pemと/etc/pki/nw/ca/ssca-cert.pemファイルをNetWitnessサーバからインポートし、Endpointサーバの信頼されたルート証明書ストアに追加します。