繰り返しFeedを通じたEndpointからのコンテキスト データの構成

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode
 

RSA NetWitness EndpointのデータをRSA NetWitness Suiteで構成し、NetWitness Endpointからのコンテキスト データをDecoderおよびLog Decoderセッションに提供することができます。この構成では、コンテキスト メタ値の他、NetWitness Suiteエコシステムのその他のメタデータとの相関を構築するときに使用できるインスタントIOCアラートが追加されます。

管理者は、NetWitness Suite Liveの繰り返しFeedを介してNetWitness Endpointからのシステム スキャン コンテキスト データを使用するようにNetWitness Suiteを構成できます。この統合により、DecoderまたはLog Decoderからのセッションに対して、NetWitness Suite Investigationにコンテキスト情報が表示されるようになります。これらの情報には、ホスト オペレーティング システム、MACアドレス、IIOCスコアなど、DecoderまたはLog Decoderからのセッションのログまたはパケット データには存在しないデータが含まれます。

注:この機能は、パケットDecoderを使用する環境を対象にしていますが、繰り返しFeedはLog Decoderにも実装できます。

注意:多数のNetWitness Endpointホストがある環境では、繰り返しFeedを使用することで、NetWitness Suiteの収集デバイス(DecoderおよびLog Decoder)のパフォーマンスが低下する場合があります。

前提条件

  • バージョン4.3.0.4、4.3.0.5、または4.4のNetWitness Endpointコンソール サーバとNetWitnessサーババージョン10.4以上がインストールされていること。
  • バージョン11.0のRSA DecoderおよびConcentratorがネットワーク内のNetWitnessサーバに接続されていること。

繰り返しFeedを通じたNetWitness Endpointからのコンテキスト データを構成するには、次の手順を実行します。

  1. NetWitness Endpointユーザ インタフェースでNetWitness SuiteのNetWitness Endpoint Feedを有効化します。
  2. NetWitness Endpointコンソール サーバからNetWitness Endpoint CA証明書をエクスポートし、NetWitness Suiteトラスト ストアにインポートします。
  3. NetWitness Suite Concentratorサービスを構成して、インデックスを作成するメタ キーを定義します。
  4. NetWitness Suite Liveで繰り返しFeedを作成します。

NetWitness SuiteのNetWitness Endpoint Feedの有効化

  1. NetWitness Endpointのユーザ インタフェースで、SQLユーザをNetWitness Endpointに作成します。
    1. NetWitness Endpointのユーザ インタフェースを開き、適切な認証情報を使用してログオンします。
    2. メニュー バーで、[構成]>[ユーザとロールの管理]を選択し、ペインを右クリックして[SQLユーザの作成]を選択します。
      [新しいSQLユーザの作成]ダイアログが表示されます。
      Create a new SQL server dialog
    3. ログイン名]と[パスワード]を入力し、[作成]をクリックします。
  2. メニュー バーから[構成]>[外部コンポーネントの監視]を選択します。
    [外部コンポーネントの構成]ダイアログが表示されます。External Components Configuration dialog

  3. NetWitness Suiteで、+をクリックします。
    [NetWitness Suite]ダイアログが表示されます。
    NetWitness Suite Dialog
  4. NetWitness Suite]パネルの[オン]に、NetWitness Suiteコンポーネントを識別するための名前を入力します。
  5. NetWitness Suiteの接続]パネルで、次の手順を実行します。
    1. サーバ ホスト名/IP]フィールドに、NetWitnessサーバのホスト名またはIPアドレスを入力します。
    2. ポート]フィールドに、ポート番号を入力します。デフォルトでは、ポート番号は443です。
  6. NetWitness Suiteの構成]パネルで、次の手順を実行します。
    1. サーバのタイム ゾーン]フィールドで、ドロップダウン リストからコンポーネントのタイム ゾーンを選択します。
    2. デバイス識別子]フィールドにNetWitness Suite ConcentratorデバイスのIDを入力します。
  7. 注:[調査]>[ナビゲート]<ConcentratorまたはBrokerの名前>でConcentratorまたはBrokerを検索すると、NetWitness Suiteのデバイスの識別子が見つかります。デバイスの識別子は、URL内の「investigation」の後の数字です。たとえば、URLがhttps://<IP address>investigation/319/navigate/valuesの場合、デバイスの識別子は319です。

保存]をクリックすると、[URI]フィールドが設定されます。

  1. クエリの最適化]パネルの[古いクエリを実行しない]フィールドに、クエリ期間の制限を日数で入力します。この機能を無効にする場合は、「0」を入力します。
  2. クエリ時間範囲]パネルで、次の手順を実行します。
    1. 最小値]フィールドに、最小のクエリ時間範囲を分単位で入力します。この値を使用して、NetWitness Suiteに送信される時間範囲を自動的に増加させます。これにより、NetWitness Endpointエージェントの報告された時刻がNetWitness Endpointの時刻とわずかに異なる場合、クエリが肯定的な応答を返すようになります。

    2. 最大値]フィールドに、時間範囲の制限を分単位で入力します。この値を使用して、NetWitness Suiteに送信される時間範囲が自動的に制限されるため、クエリがNetWitnessサーバを過負荷にすることはありません。
  3. NetWitness SuiteのRSA NetWitness Endpoint Feedの構成]パネルで、次の手順を実行します。
    1. RSA NetWitness Endpoint Feedを有効化]を選択します。
    2. URL]フィールドで、SQLユーザ名パスワード(ステップ1で構成した)を入力し、Feedの場所にアクセスします。
      保存]をクリックすると、[URL]フィールドが設定されます。
    3. Feedが発行される頻度の時間間隔を入力します。
  4. Feedの発行間隔]パネルの[時間間隔]フィールドで、Feedが発行される頻度を示す時間の間隔を時間で選択します。
  5. 次のユーザのURLアクセスを有効化]パネルで、NetWitness Endpointユーザの[ユーザ名]と[パスワード]を入力します。
  6. 保存]をクリックします。
    Feedが作成されます。

NetWitness EndpointのSSL証明書のエクスポート

注:Java 8のサポートはNetWitness Suite 10.5に対して追加されたため、この手順は10.5以上にのみ適用されます。それより前のバージョンのNetWitness Suiteを使用している場合は、このガイドで該当するバージョンを参照してください。

NetWitness Endpointコンソール サーバからNetWitness Endpoint CA証明書をエクスポートし、それをNetWitness Suiteホストにコピーするには、次の手順を実行します。

  1. NetWitness Endpointコンソールにログオンします。
  2. MMCを開きます。
  3. コンピューター アカウント用の証明書スナップインを追加します。
  4. EcatCAという名前の証明書をエクスポートします。
    1. 秘密鍵なしでエクスポートします。
    2. DERエンコード バイナリX.509(.CER)形式でエクスポートします。
    3. EcatCA.cerという名前を付けます。
  5. NetWitness Endpoint CA証明書をNetWitness Suiteホストにコピーします。
    • NetWitness Endpoint 4.3.0.4、4.3.0.5、4.4の新規インストールの場合:
      scp NweCA.cer root@<sa-machine>:.
    • 以前のバージョンからNetWitness Endpoint 4.3.0.4または4.3.0.5へのアップグレードの場合:
      scp EcatCA.cer root@<sa-machine>:.
  1. NetWitness Endpoint CA証明書をNetWitness Suiteトラスト ストアにインポートするには、次の手順を実行します。
    1. 次のコマンドを使用して、NetWitness SuiteにインストールされているJavaバージョンを確認します。
      java -version
      openjdkバージョンが表示されます。たとえば、openjdkバージョンは「1.8.0_71」です。

    2. JDKパラメータを設定するには、javaディレクトリに移動します。以下のコマンドを実行します。
    • JDK=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.141-1.b16.el7_3.x86_64/jre/

    • NetWitness Endpointの新規インストールの場合:

      $JDK/bin/keytool -import -v -trustcacerts -alias nweca -file ~/NweCA.cer -keystore $JDK/lib/security/cacerts -storepass changeit

    • 以前のバージョンからのNetWitness Endpointのアップグレードの場合:

      $JDK/bin/keytool -import -v -trustcacerts -alias ecatca -file ~/EcatCA.cer -keystore $JDK/lib/security/cacerts -storepass changeit

    証明書更新の確認のプロンプトが表示されたら、「Yes」と入力します。

  2. NetWitness Suiteホストで、次のいずれかを実行します。
    • NetWitness Endpoint 4.3.0.4、4.3.0.5、4.4の新規インストールの場合は、/etc/hostsを編集し、このファイルに次の行を追加して、NetWitness Endpointコンソール サーバのIPアドレスをNweServerCertificateという名前にマップします。

      <ip-address-ecat-cs> NweServerCertificate

    • 以前のバージョンからNetWitness Endpoint 4.3.0.4または4.3.0.5へのアップグレードの場合は、 /etc/hostsを編集し、このファイルに次の行を追加して、アップグレードしたNetWitness Endpointコンソール サーバのIPアドレスをecatserverexportedという名前にマップします。

      <ip-address-ecat-cs> ecatserverexported

  3. NetWitness Suiteを再起動するには、次のコマンドを実行します。

    service jetty restart

NetWitness Suite Concentratorサービスの構成

  1. NetWitness Suiteにログオンし、[管理]>[サービス]に移動します。
  2. リストからConcentratorを選択して、[表示]>[構成]を選択します。
  3. ファイル]タブを選択し、[編集するファイル]ドロップダウン メニューから、index-concentrator-custom.xmlを選択します。
  4. 次のNetWitness Endpointメタ キーをファイルに追加し、[適用]をクリックします。このファイルにはXMLセクションがすでに含まれることに注意してください。例を次に示します。構成と値がFeed定義に含まれる列名に一致することを確認してください。ここで、
    descriptionは、NetWitness Suite Investigationで表示されるメタ キー名です。
    levelは「IndexValues」です。
    nameは、繰り返しFeedを定義する際にNetWitness Suiteが使用するCSVファイルの列名と一致します(次の「NetWitness Suiteでの繰り返しカスタムFeedタスクの構成」の表を参照してください)。

    <key description="Gateway" format="Text" level="IndexValues" name="gateway" valueMax="250000" defaultAction="Open"/>

    <key description="Risk Number" format="Float64" level="IndexValues" name="risk.num" valueMax="250000" defaultAction="Open"/>

    <key description="Strans Addr" format="Text" level="IndexValues" name="stransaddr" valueMax="250000" defaultAction="Open"/>

    <key description="Domain" format="Text" level="IndexValues" name="domain" valueMax="250000" defaultAction="Open"/>

    <key description="User Account" format="Text" level="IndexValues" name="username" valueMax="250000" defaultAction="Open"/>

    <key description="Ecat Connectiontime" format="Text" level="IndexValues" name="ecat.ctime" valueMax="250000" defaultAction="Open"/>

    <key description="Ecat Scantime" format="Text" level="IndexValues" name="ecat.stime" valueMax="250000" defaultAction="Open"/>

  5. Concentratorを再起動起動して、カスタム キーの更新をアクティブ化します。

NetWitness Suiteでの繰り返しカスタムFeedタスクの構成

  1. NetWitness Suiteにログオンし、[構成]>[カスタムFeed]に移動します。
    [Feed]ビューが表示されます。
  2. ツールバーで、Add Iconをクリックします。
    [Feedの構成]ダイアログが表示されます。
  3. [Feedの構成]ダイアログで、[カスタムFeed]を選択して[次へ]をクリックします。
    カスタムFeedの構成ウィザードが表示され、[Feedの定義]フォームが開きます。
  4. Feedの定義]で、次の操作を実行します。
    • Feedタスク タイプ]フィールドで[繰り返し]を選択します。
    • 名前]フィールドに、Feedの名前を入力します。たとえば、EndpointFeedなどです。
    • URL]フィールドで、NetWitness EndpointがインストールされているWindowsサーバのURLとホスト名を入力します。
    1. 認証情報]チェックボックスをオンにし、前述の「{{SA}}のECAT Feedの有効化」でメモに記録したユーザ名とパスワードを入力します。
    1. 検証]をクリックして、NetWitness SuiteがWebリソースにアクセスできることを確認します。
    1. スケジュールを定義し、[次へ]をクリックします。Define Feed
  5. サービスの選択]タブで、Feedを使用するDecoderまたはグループを選択します。[次へ]をクリックします。
  6. 列の定義]タブで、次の表に従って列名を入力し、Feedを保存します。Define Columns

次の表に、NetWitness Endpoint Feed用のCSVファイルの列を示します。

                                                                                   
名前説明NetWitness Suiteでの列名(メタ キー名)
1MachineNameWindowsエージェントのホスト名alias.host
2LocalIpIPv4アドレスIPタイプ(インデックス付き列)
3RemoteIpルーターで検出されるリモートIPstransaddr
4GatewayIpゲートウェイのIPgateway
5MacAddressMACアドレスeth.src
6OperatingSystemWindowsエージェントで使用されているオペレーティング システムOS
7AgentIDホストのAgent ID(Agentに割り当てられた一意のID)client
8ConnectionUTCTimeエージェントが最後にNetWitness Endpointサーバに接続した時刻ecat.ctime
9Source DomainDomaindomain.src
10ScanUTC timeエージェントが前回スキャンされた時刻ecat.stime

11

UserName

クライアント マシンのユーザ名

username

12Machine Scoreエージェントのスコアrisk.num

注:この表では、推奨されるインデックス設定は、LocalIpです。ただし、DHCPサーバによってNetWitness EndpointエージェントPCのLocalIpが割り当てられるが、DHCPリースの有効期限が切れている場合、およびIPが別のPCに再割り当てされる場合は、Feedによって作成されるメタデータが不適切になります。このリスクを回避するには、localIPアドレスの代わりに、マシン名またはMACアドレスをFeedのインデックスとして使用します。たとえば、MACアドレスを使用する場合は、次の図に示されている値を入力できます。

Mac address for the endpoint feed

結果

インデックス付けされた値(ip.src)が一致したときに、FeedデータをNetWitness Suiteで表示する場合は、該当するメタ データが、Investigation、Reporting、Alertingの各インタフェースに表示されるようになります。

You are here
Table of Contents > 繰り返しFeedを通じたEndpointからのコンテキスト データの構成

Attachments

    Outcomes