RSA NetWitness Endpoint 4.3.0.4、4.3.0.5、または4.4を使用しているRSAのお客様は、NetWitness EndpointとRSA NetWitness Suiteをいくつかの方法で統合できます。このガイドは、RSA NetWitness Suiteバージョン11.0を対象としています。
統合オプション
ビルトインNetWitness Endpointルックアップ
アナリストがブラウザでNetWitness Suiteにアクセスしているコンピューターに、RSA NetWitness Endpoint UI(ユーザ インタフェース)がインストールされている場合、NetWitness Suite InvestigationとNetWitness Suite Respondに組み込まれたNetWitness Endpointルックアップ機能によって、次のメタ キーで右クリックすればNetWitness Endpointコンソール サーバにアクセスできます。IPアドレス(ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip)、 host (alias-host, domain.dst)、client、file-hash)。詳細については、「調査およびマルウェア解析ユーザ ガイド」の「メタ キーの外部ルックアップの起動」トピックおよび「NetWitness Respondユーザ ガイド」の「[アラート]ビュー」トピックを参照してください。
ビルトインParserであるNetWitness EndpointまたはCEFを使用し、かつInvestigationで使用されるデフォルトのメタ キーをカスタマイズしていない場合、エンドポイント ルックアップの為にNetWitness Suiteを構成する必要はありません。 詳細については、「調査およびマルウェア解析ユーザ ガイド」の「Investigationでのデフォルト メタ キーの管理と適用」」トピックを参照してください。
注:例外としては、Investigationのデフォルト メタ キーの表示設定を編集して、NetWitness Suiteをカスタマイズしたり、メタ キーをtable-map-custom.xmlファイルに追加したり、NetWitness Endpoint Feedをカスタマイズする場合があります。「システム構成ガイド」の「コンテキスト メニューのカスタム アクションの追加」トピックで説明されているように、構成によっては、[管理]>[システム]ビューから、NetWitness Endpointルックアップのコンテキスト メニューにカスタム メタ キーを追加する必要があります。
統合方法
RSA NetWitness Endpoint 4.3.0.4、4.3.0.5、または4.4のコンソール サーバがWindowsホストにインストールされ、NetWitness EndpointとNetWitness Suiteが管理者によって適切に構成されている場合、NetWitness Endpoint分析データの3つの追加統合が可能です。
RSA NetWitness Endpointの統合方法は以下のとおりです。
- メッセージ バス経由のEndPointアラートの構成
- 繰り返しFeedを通じたEndpointからのコンテキスト データの構成
- Log DecoderへのSyslog経由のEndpointアラートの構成
メッセージ バス経由のNetWitness RespondへのEndpointアラートの構成。この統合では、Endpointアラートをメッセージ バス経由でRespondに転送する機能が提供されます。
NetWitness Suite Liveの繰り返しFeedを通じたEndpointからのコンテキスト データ この統合では、たとえば、ホスト オペレーティング システム、MACアドレス、IIOCスコア、ログやパケット データに存在しないその他のデータなどのコンテキスト情報を使用して、NetWitness Suite Investigationに表示されるセッションにより豊富な情報を付加することができます。
NetWitness Suite Log DecoderへのSyslog(CEF)経由のNetWitness Endpointアラート。この統合では、Syslog経由でEndpointイベントを転送したり、イベントをNetWitness Suiteエコシステム内の他のログまたはパケット メタデータと関連づける機能を提供します。
NetWitness Endpointメタの統合
NetWitness EndpointのメタとRSA NetWitness Suiteとの統合により、両方の製品を使用しているお客様は、これらの製品を1つのユーザ インタフェースでより簡単に利用できます。次の図は、NetWitness EndpointとNetWitness Suiteの統合を示しています。NetWitness Endpointのメタデータは、NetWitness Endpointエージェントが導入されているすべてのコンピューターから収集および公開された後に、NetWitness Suite Log Decoderに送信されます。
メタは関連づけられているNetWitness Suite ConcentratorおよびNetWitness Suite調査にも表示できます。
NetWitness Endpointのアラートと侵害インジケータ
NetWitness Endpoint IIOC(セキュリティ侵害インジケータ)は、NetWitness Endpointがスキャン対象のホストにおけるマルウェアの存在を判断するために、収集されたNetWitness Endpointスキャン データに対して実行するデータベース クエリです。RSA NetWitness Endpoint 4.1.2以降には、ユーザが有効化しアラート対象としてマークできるIOCが同梱されています。RSA NetWitness Endpointは、データベースに収集されて格納される新しいスキャン データに対してIOCクエリを定期的に実行します。IOCクエリにマッチするデータが検知された場合、これはセキュリティ侵害の可能性があることを示しており、このイベントをユーザに報告したり、外部システムにアラートとして送信することができます。
アラートには次のタイプがあります。
- マシン アラート:このアラートは、対象のマシンが疑わしいことを示します。
- モジュール アラート:このアラートは、ファイル、DLL、実行ファイルなどのモジュールが疑わしいことを示します。対象のモジュールに関する詳細情報も含んでいます。
- イベントアラート:このアラートは、前述のカテゴリに属さないその他の疑わしいアクティビティがNetWitness Endpointで検知されたことを示します。
これらのアラート タイプはそれぞれNetWitness Suiteに送信できます。