メッセージ バス経由のEndPointアラートの構成

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode
 

ここでは、NetWitness EndpointとNetWitness Suiteを統合するのに必要な手順を紹介します。この手順を完了すると、NetWitness SuiteのRespondコンポーネントによってNetWitness Endpointアラートが収集され、[対応]>[アラート]ビューに表示されるようになります。

注:NetWitness Respondの統合に関して、RSAはNetWitness Endpointのバージョン4.3.0.4、4.3.0.5、または4.4をサポートします。詳細については、「NetWitness Endpointユーザ ガイド」の「RSA NetWitness Suite Integration」トピックを参照してください。

次の図は、NetWitness Suiteの[対応]の[インシデント リスト]ビューへのNetWitness Endpointアラートの流れと、[対応]>[アラート]ビューでの表示を示しています。

メッセージ バス経由のEndPointアラート

前提条件

以下の条件を満たしていることを確認します。

  • Respondサービスがインストールされ、NetWitness Suite 11.0で実行されていること。
  • NetWitness Endpoint 4.3.0.4、4.3.0.5、4.4 がインストールされ、実行されていること。

NetWitness Endpointアラートを転送するNetWitness Endpointの構成

メッセージ バス経由でアラートをNetWitness Suiteのユーザ インタフェースに送信するようにNetWitness Endpointを構成するには、次の手順を実行します。

  1. NetWitness Endpointユーザ インタフェースで、[構成]>[監視と外部コンポーネント]をクリックします。

    外部コンポーネントの構成]ダイアログが表示されます。
    NetWitness Endpoint:[外部コンポーネントの構成]ダイアログ

    1. リストされているコンポーネントから[インシデント メッセージ ブローカー]を選択し、+をクリックして新しいIM brokerを追加します。
  2. 次のフィールドを入力します。

    1. インスタンス名:IM brokerを識別する一意の名前を入力します。
    2. サーバのホスト名/IPアドレス:IM brokerのホストDNSまたはIPアドレスを入力します(NetWitnessサーバ)。
    3. ポート番号:デフォルトのポートは5671です。
  3. 保存]をクリックします。
  4. C:\Program Files\RSA\ECAT\ServerConsoleServer.exe.configファイルに移動します。
  5. 次のように、ファイルの仮想ホスト構成を変更します。
    <add key="IMVirtualHost" value="/rsa/system" />

  6. 注:NetWitness Suite11.0では、仮想ホストは「/rsa/system」です。バージョン10.6.x以下では、仮想ホストとは「rsa/sa」です。

  7. APIサーバとコンソール サーバを再起動します。

  8. Respondアラート用にSSLを設定するには、NetWitness Endpointプライマリ コンソール サーバでSSL通信を設定する次の手順を実行します。

    1. ローカル コンピュータの個人証明書ストアから(秘密鍵を選択せずに)NetWitness EndpointのCA証明書を.CER形式(Base-64でエンコードされたX.509)でエクスポートします。
    2. NetWitness EndpointのCA証明書を使用して、NetWitness Endpointのクライアント証明書を生成します (CN名を「ecat」に設定する必要があります)。

      makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "NweCA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer

      注:前述のコード サンプルで、以前のバージョンからEndpointバージョン4.3にアップグレードし、新しい証明書を生成していない場合、「NweCA」の代わりに「EcatCA」を使用する必要があります。

    3. ステップbで生成したクライアント証明書の拇印をメモしておきます。次に示すように、ConsoleServer.Exe.ConfigファイルのIMBrokerClientCertificateThumbprintセクションに、クライアント証明書の拇印の値を入力します。

      <add key="IMBrokerClientCertificateThumbprint" value="896df0efacf0c976d955d5300ba0073383c83abc"/>

  9. NetWitnessサーバで、.CER形式のNetWitness Endpoint CA証明書ファイルをインポート フォルダにコピーします。
    /etc/pki/nw/trust/import

  10. 次のコマンドを発行して、必要なChef実行を開始します。
    orchestration-cli-client --update-admin-node
    これにより、すべての証明書がトラスト ストアに追加されます。

  11. RabbitMQサーバを再起動します。
    systemctl restart rabbitmq-server
    NetWitness Endpointアカウントは自動的にRabbitMQで利用可能になります。

  12. /etc/pki/nw/ca/nwca-cert.pemファイルと/etc/pki/nw/ca/ssca-cert.pemファイルをNetWitnessサーバからインポートし、それらをEndpointサーバの信頼できるルート証明書ストアに追加します。

トラブルシューティング

このセクションでは、メッセージ バス経由でNetWitness Endpointのアラートを構成するときに発生する可能性のある問題の解決方法を提案します。

             
既知の問題解決策
管理ノードでオーケストレーションに失敗する。EcatCA証明書の内容を/etc/rabbitmq/ssl/truststore.pem にコピー&ペーストし、Rabbitmqサービスを再起動する必要があります。
Previous Topic:RSA Endpointの統合
You are here
Table of Contents > メッセージ バス経由のEndpointアラートの構成

Attachments

    Outcomes