レポート:Reporting Engineの構成

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode

次の事項を確認:

  • アラート ルールを作成する前に、データ ソースとしてReporting Engineに追加したConcentratorにDecoderが接続済みである必要があります。
  • 使用環境にTCP/TLSをサポートしているSyslogサーバが設置され、構成されています。たとえば、WinSyslogなどがこれに該当します。アラートがトリガーされたときに、TLS(Transport Layer Security)を使用してTCP経由でSyslogメッセージを送信できるようにReporting Engineを構成できます。

Reporting EngineからTCP/TLS経由でSyslogアラートが送信されるよう構成するには、次の手順を実行します。

  1. 必要な証明書を入手します。
  2. NetWitnessサーバでca.pemファイルにCA証明書を追加します。

  3. クライアント マシンからのメッセージを受信するようにSyslogサーバを構成します。

  4. NetWitness UIでアラート メッセージの配信を構成します。

タスク1:必要な証明書を入手

Reporting EngineからTCP/TLS経由でSyslogメッセージを送信するために必要な証明書を作成するには、次の手順を実行します。

  1. CA(認証機関)の証明書を作成します。詳細については、http://www.rsyslog.com/doc/tls_cert_ca.htmlを参照してください。

注:使用環境にすでにCAが構成されている場合は、このステップを省略できます。

  1. Syslogサーバ用のキー ペアを生成します。詳細については、http://www.rsyslog.com/doc/tls_cert_machine.htmlを参照してください。

注:同一のCAによって作成されたキーと証明書を使用してSyslogサーバのセキュリティがすでに構成されている場合は、このステップを省略できます。

タスク2:NetWitnessサーバでca.pemファイルにCA証明書を追加

ca.pemファイルに既存のCA証明書を追加するには、次の手順に従います。

  1. 生成したCA証明書の内容を/etc/pki/CA/certs/ca.pemファイルに手動で追加します。
  2. NetWitnessサーバで次のコマンドを実行してトラスト ストアに証明書を追加します。
    keytool -import -file /etc/pki/CA/certs/ca.pem -keystore cacerts

タスク3:クライアント マシンからのメッセージを受信するようにSyslogサーバを構成

同じCA証明書を持つクライアント マシンからのメッセージを受信するようにSyslogサーバを構成するには、次の手順を実行します。

  1. 次のファイルをセキュアなTCPサーバ ターゲット ロケーションにコピーします。
    • ca_cert.pem

    • server_cert.pem

    • server_key.pem

      各ファイルの内容は次のとおりです。

      ca_cert.pem:CA証明書

      server_cert.pem:サーバ証明書

      server_key.pem:サーバ キー

      詳細については、ご使用のSyslogサーバ用ドキュメントを参照してください。rsyslogを使用している場合は、http://www.rsyslog.com/doc/tls_cert_server.htmlを参照してください。

タスク4:NetWitness UIでアラート メッセージの配信を構成

アラートがトリガーされたときに、Reporting EngineがTLS(Transport Layer Security)を使用してTCP経由でSyslogメッセージを送信するように構成します。Reporting Engineの[サービス]の[構成]ビューにアクセスし、[出力アクション]タブで[SECURE_TCP]を有効にします。詳細については、「ホストおよびサービスの構成ガイド」で「Reporting Engineの[出力アクション]」トピックを参照してください。

 

You are here
Table of Contents > Reporting Engineの構成

Attachments

    Outcomes