ここでは、NetWitness EndpointとNetWitness Suiteを統合するのに必要な手順を紹介します。この手順を完了すると、NetWitness SuiteのRespondコンポーネントによってNetWitness Endpointアラートが収集され、[対応]>[アラート]ビューに表示されるようになります。
注:NetWitness Respondの統合に関して、RSAはNetWitness Endpointのバージョン4.3.0.4、4.3.0.5、または4.4をサポートします。詳細については、「NetWitness Endpointユーザ ガイド」の「RSA NetWitness Suite Integration」トピックを参照してください。
次の図は、NetWitness Suiteの[対応]の[インシデント リスト]ビューへのNetWitness Endpointアラートの流れと、[対応]>[アラート]ビューでの表示を示しています。
前提条件
以下の条件を満たしていることを確認します。
- Respondサービスがインストールされ、NetWitness Suite 11.0で実行されていること。
- NetWitness Endpoint 4.3.0.4、4.3.0.5、4.4 がインストールされ、実行されていること。
NetWitness Endpointアラートを転送するNetWitness Endpointの構成
メッセージ バス経由でアラートをNetWitness Suiteのユーザ インタフェースに送信するようにNetWitness Endpointを構成するには、次の手順を実行します。
-
NetWitness Endpointユーザ インタフェースで、[構成]>[監視と外部コンポーネント]をクリックします。
- リストされているコンポーネントから[インシデント メッセージ ブローカー]を選択し、+をクリックして新しいIM brokerを追加します。
-
次のフィールドを入力します。
- インスタンス名:IM brokerを識別する一意の名前を入力します。
- サーバのホスト名/IPアドレス:IM brokerのホストDNSまたはIPアドレスを入力します(NetWitnessサーバ)。
- ポート番号:デフォルトのポートは5671です。
- [保存]をクリックします。
- C:\Program Files\RSA\ECAT\ServerのConsoleServer.exe.configファイルに移動します。
-
次のように、ファイルの仮想ホスト構成を変更します。
<add key="IMVirtualHost" value="/rsa/system" /> -
APIサーバとコンソール サーバを再起動します。
-
Respondアラート用にSSLを設定するには、NetWitness Endpointプライマリ コンソール サーバでSSL通信を設定する次の手順を実行します。
- ローカル コンピュータの個人証明書ストアから(秘密鍵を選択せずに)NetWitness EndpointのCA証明書を.CER形式(Base-64でエンコードされたX.509)でエクスポートします。
-
NetWitness EndpointのCA証明書を使用して、NetWitness Endpointのクライアント証明書を生成します (CN名を「ecat」に設定する必要があります)。
makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "NweCA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer
注:前述のコード サンプルで、以前のバージョンからEndpointバージョン4.3にアップグレードし、新しい証明書を生成していない場合、「NweCA」の代わりに「EcatCA」を使用する必要があります。
-
ステップbで生成したクライアント証明書の拇印をメモしておきます。次に示すように、ConsoleServer.Exe.ConfigファイルのIMBrokerClientCertificateThumbprintセクションに、クライアント証明書の拇印の値を入力します。
<add key="IMBrokerClientCertificateThumbprint" value="896df0efacf0c976d955d5300ba0073383c83abc"/>
-
NetWitnessサーバで、.CER形式のNetWitness Endpoint CA証明書ファイルをインポート フォルダにコピーします。
/etc/pki/nw/trust/import -
次のコマンドを発行して、必要なChef実行を開始します。
orchestration-cli-client --update-admin-node
これにより、すべての証明書がトラスト ストアに追加されます。 -
RabbitMQサーバを再起動します。
systemctl restart rabbitmq-server
NetWitness Endpointアカウントは自動的にRabbitMQで利用可能になります。 - /etc/pki/nw/ca/nwca-cert.pemファイルと/etc/pki/nw/ca/ssca-cert.pemファイルをNetWitnessサーバからインポートし、それらをEndpointサーバの信頼できるルート証明書ストアに追加します。
注:NetWitness Suite11.0では、仮想ホストは「/rsa/system」です。バージョン10.6.x以下では、仮想ホストとは「rsa/sa」です。
トラブルシューティング
このセクションでは、メッセージ バス経由でNetWitness Endpointのアラートを構成するときに発生する可能性のある問題の解決方法を提案します。