NWの構成:Liveサービス設定の構成

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode
 

Liveサービスの構成は、[システム]ビュー>[Liveサービス構成]パネルで行います。[Live構成]パネルでは、以下の構成を行うことができます。

  • Liveアカウント。
  • Liveコンテンツの更新スケジュールおよび更新通知の設定。
  • Liveサービスフィードバックへの参加。
  • Liveコンテンツの使用状況の共有
  • RSA Live Connect(ベータ)

前提条件

NetWitness SuiteのLiveアカウントのアクティブ化については、RSAカスタマー サポートまでお問い合わせください。Liveアカウントのアクティブ化が完了したことを確認したら、CMSサーバとの接続を構成し、テストできます。

NetWitness Suiteに初めてログインしたときには、[新しい機能が有効化されました]というダイアログ ボックスが表示されます。

承諾]をクリックすると、以下に自動的に同意したことになります。

  • Liveフィードバックへの参加。
  • Live Connect機能を使用した脅威インテリジェンス データの受信。

  • 自分の環境に関する匿名の技術データをNetWitness SuiteからRSAに送信する許可。

設定を表示]をクリックすると、Liveサービスのユーザ インタフェースにリダイレクトされ、LiveフィードバックとLive Connect脅威データ共有の設定が表示されます。Liveアカウントが構成されていない場合は、マスクされた画面が表示されます。

Analyst Behaviorsおよびデータ共有については、「Liveサービス管理ガイド」の「NetWitness Suite Feedback and Data Sharing」を参照してください。

Liveフィードバックへの参加について

Liveフィードバックに参加すると、さらなる改善のための関連情報が収集されます。Liveフィードバックについては、「Liveフィードバックの概要」を参照してください。

NetWitness Suiteをインストールすると、Liveフィードバックに参加するよう促されます。詳細については、「Liveサービス設定の構成」を参照してください。

必要な場合は、手動で使用状況の履歴データをダウンロードし、RSAと共有することができます。使用状況の履歴データをダウンロードし、RSAと共有する方法については、Liveフィードバックの「Liveフィードバック用にデータをRSAにアップロード」を参照してください。

このトピックでは、次の手順について説明します。

[Liveサービス構成]パネルへのアクセス

  1. [管理]>[システム]に移動します。
  2. 左側のナビゲーションパネルで、[Liveサービス]を選択します。

注:Liveアカウントでサイン インしていない場合は、マスクされた画面が表示されます。

Liveアカウントの構成

Liveアカウント]セクションで、ユーザのLiveアカウントを設定します。Liveアカウントの設定に必要な情報は、ユーザ名、パスワード、コンテンツ管理システムのURLです。この情報は、RSAカスタマー サポートから提供されます。

Liveアカウントを構成するには、次の手順を実行します。

  1. Liveアカウント]セクションで、[サイン イン]をクリックします。

    注:変更]ボタンが表示される場合は、Liveアカウントが構成済みであることを示しています。[変更]をクリックすると、Liveサービスにアクセスするユーザを変更できます。

  2. [Liveサービス アカウント]ダイアログ ボックスで、[ホスト](通常はcms.netwitness.com)を入力し、ユーザ名とパスワードを入力します。

  3. (オプション)異なるコンテンツ管理システム(CMS)を使用する場合は、そのURLを入力します。デフォルトは、cms.netwitness.comです。
  4. (オプション)異なるコンテンツ管理システムを使用する場合は、Liveリクエストの送信先となる通信ポートを入力します。このフィールドのデフォルトは443です。これは、コンテンツ管理システムの通信ポートです。
  5. (オプション)SSLを使用しない場合は、[SSL]オプションをオフにします。(SSLはデフォルトで有効化されています。)
  6. 接続のテスト]をクリックしてCMSへの接続をテストします。
  7. 構成を保存し、適用するには、[適用]をクリックします。

Liveコンテンツの同期間隔および通知の構成

NetWitness SuiteがLiveコンテンツの更新の有無をチェックする間隔を変更できます。

  1. 新しい更新の確認]フィールドを使用して、間隔を変更します。ドロップダウン リストから間隔を選択します。この設定のデフォルト値は[1日に1回]です。

  2. メール アドレス]フィールドで、1人以上の通知先に更新レポートを送信するようにLiveサービスを構成できます。カンマで区切ったリスト(例:john@company.com,ted@company.com,brian@company.com)でメール アドレスを入力します。
  3. (オプション)プレーン テキストではなくHTML形式のメッセージを受信するには、[HTML形式]を選択します。
  4. 適用]をクリックして、構成を適用します。

    指定した更新確認の間隔に基づいて、次回の同期スケジュールの日時が表示されます。

今すぐ同期

更新スケジュールの設定に関係なく、NetWitness Suiteがサブスクライブ中のリソースをすぐに同期することができます。構成変更の影響をすぐに確認したい場合などに使用します。たとえば、新しいサービスを追加したり、新しいリソースを自動適用するよう構成変更した場合に使用します。Liveサービスを1日数回同期するよう設定している場合、スケジュールされた同期が数時間ごとに実行されることになります。

注意:同期サイクルの中でFlexParserが導入されることがあれば、Parserの再ロードが発生します。Parserの再ロードを頻繁に行うと、Decoderでのパケット損失が発生する可能性があります。FlexParserの導入は多くても1日2回程度までにするようにしてください。SA導入の直後で、まだLiveリソース サブスクリプションを構成していない場合には、[今すぐ同期]は実行しないでください。サブスクリプションを構成してから実行します。

今すぐ同期するには、[今すぐ確認]をクリックします。NetWitness Suiteでサブスクライブ済みリソースの更新がチェックされます。

RSA Live Connect(ベータ)の使用

RSA Live Connectはクラウド ベースの脅威インテリジェンス サービスです。このサービスは、RSA NetWitness® SuiteおよびRSA NetWitness® Endpointカスタマー コミュニティを含むさまざまなソースから、IPアドレスやドメイン、ファイルなどの脅威インテリジェンス データを収集して分析し、評価します。RSA Live Connectは次の機能で構成されています。

  • Threat Insights
  • Analyst Behaviors

Threat Insights

Threat Insights により、アナリストは、調査プロセスで役立つIP関連情報などの脅威インテリジェンス データをLive Connectサービスから取り込むことができます。

デフォルトでは、Threat InsightsAdditional Live Servicesセクションで有効化されています。Context Hubサービスが構成されている場合、Live ConnectはContext Hubのデータ ソースとして自動的に追加されます。詳細については、「Context Hub構成ガイド」の「Context Hubのデータ ソースとしてのLive Connectの構成」を参照してください。

Context Hubのデータ ソースとしてLive Connectを使用すると、[Investigate]>[ナビゲート]ビューまたは[調査]>[イベント]ビューの[コンテキスト ルックアップ]オプションを使用してコンテキスト情報をフェッチできます。手順については、「調査およびマルウェア解析ガイド」の「データ ポイントの追加コンテキストの表示」トピックを参照してください。

Analyst Behaviors

Analyst Behaviorsは、アナリストがRSAコミュニティへのデータの共有に参加する機能です。これは、自動化されたデータ コレクション サービスです。潜在する脅威インテリジェンス データを、解析用にRSA Live Connectクラウド サービスと共有することを目的としています。お客様のネットワークからRSA Live Connecに送信される可能性のあるデータには、ip.src、ip.dst、ip.addr、device.ip、alias.ip、alias.host、paddr、sessionid、domain.dst、domain.srcなど、NetWitness Suite製品が収集するさまざまなタイプのメタ データが含まれます。Analyst Behaviorsおよびデータ共有については、「Liveサービス管理ガイド」の「NetWitness Suite Feedback and Data Sharing」を参照してください。

You are here
Table of Contents > 標準的な手順 > Liveサービス設定の構成

Attachments

    Outcomes