Configuration d'ESA : Configuration du service de recherche Whois

Document created by RSA Information Design and Development on Apr 23, 2018Last modified by Susan Ewald on Apr 23, 2018
Version 2Show Document
  • View in full screen mode
 

Dans le panneau Configuration du service de recherche Whois (ADMIN > Système > Whois), vous pouvez configurer une connexion au service de recherche Whois pour vos modules ESA Analytics préconfigurés utilisés avec la fonctionnalité RSA de détection automatisée des menaces. Le service Whois vous permet d'obtenir des données précises sur les domaines auxquels vous vous connectez. Afin de garantir une évaluation efficace, il importe de configurer les paramètres du service Whois.

Vous devez disposer d'un compte RSA Live pour utiliser ce service.

Si vous avez configuré un compte Live dans le panneau Live Services (ADMIN > Système > Live Services), le service de recherche Whois est automatiquement configuré pour vous. Il vous suffit de vérifier la connexion du service de recherche Whois.

Remarque : Si vous ne disposez pas d'un compte RSA Live, vous pouvez en créer un via le portail d'inscription RSA Live :
https://cms.netwitness.com/registration/
Le Guide de gestion des services Live fournit des informations supplémentaires.

Que voulez-vous faire ?

                       
Rôle Je souhaite...Me montrer comment
Administrateur

Configurer le service de recherche Whois.

Configurer le service de recherche Whois

Administrateur

Vérifiez la connexion du service de recherche Whois.

Configurer le service de recherche Whois

Rubriques connexes

Configuration du service de recherche Whois

Pour accéder à la Configuration du service de recherche Whois, accédez à ADMIN > Système et, dans le panneau des options, sélectionnez Whois.

Le service ESA Analytics Server doit être disponible (affichant un cercle vert) dans la vue ADMIN > Services. Si vous ne disposez pas d'un service ESA Analytics Server disponible, le panneau suivant s'affiche.

Panneau Service de recherche Whois sans service ESA Analytics disponible

Si vous disposez d'un service ESA Analytics Server disponible, le panneau suivant s'affiche.

Panneau Configuration du service de recherche Whois

Le tableau suivant décrit les paramètres de Configuration du service de recherche Whois.

                                                 
ParamètreDescription
Nom d'utilisateur Live

Obligatoire uniquement si vous n'avez pas déjà configuré le service de recherche Whois.  Indiquez les informations d'authentification du serveur RSA Whois. Elles correspondent à votre ID d'utilisateur Live RSA. Si vous n'avez pas configuré de compte Live RSA, vous devez le faire. 

La valeur par défaut est « whois ».

Mot de passe Live

Obligatoire uniquement si vous avez déjà configuré le service de recherche Whois. Indiquez les informations d'authentification du serveur RSA Whois. Elles correspondent à votre mot de passe Live RSA. Si vous n'avez pas configuré de compte Live RSA, vous devez le faire. 

La valeur par défaut est null.

Demandes autorisées

(Facultatif) Indiquez le nombre de requêtes à autoriser avant de commencer à réguler le service Whois. Ce paramètre s'utilise avec l'Intervalle de demandes autorisé (en secondes), pour lequel vous définissez l'intervalle entre les requêtes. Par exemple, si vous définissez Demandes autorisées sur 100 et Intervalle de demandes autorisé sur 60, vous êtes autorisé à effectuer 100 demandes dans un intervalle de 60 secondes.

La valeur par défaut est 100.

Intervalle de demandes autorisé

(Facultatif) Si vous définissez le paramètre Demandes autorisées, vous devez aussi configurer ce paramètre pour déterminer l'intervalle. Cette valeur doit être optimisée pour votre environnement.

La valeur par défaut est égale à 60 secondes.

Taille max. file d'attente

(Facultatif) Spécifiez la taille maximale de la file d'attente des domaines. Cette information sera demandée au service RSA Whois.

La valeur par défaut est 100 000.

Taille max. cache

(Facultatif) Spécifiez le nombre maximal d'entrées Whois mises en cache. Une fois cette limite atteinte, la dernière entrée utilisée sera supprimée afin d'accepter une nouvelle entrée.

La valeur par défaut est 50 000.

Intervalle d'actualisation (jours)

(Facultatif) Spécifiez le nombre de secondes correspondant à l'intervalle d'actualisation. Si les informations Whois demandées sont détectées et que l'entrée en cache est présente depuis un plus grand nombre de jours que le nombre de jours spécifié, celle-ci est supprimée du cache et le domaine retourne dans la file d'attente afin d'être recherché. (L'entrée en cache est renvoyée pour la demande qui l'a identifiée comme périmée.)

Paramètre par défaut : 30 jours.

Attendre la demande HTTP

(Facultatif) Indiquez au service ESA d'attendre que le service Whois réponde avant d'exécuter le module. Cela garantit que les données Whois sont toujours incluses dans les résultats, mais peut avoir un effet négatif sur les performances étant donné que le serveur ESA s'interrompt jusqu'à 30 secondes en attendant la réponse du service Whois.

Si vous ne configurez pas ce paramètre et que le temps de réponse est trop lent, le serveur ESA termine l'exécution de l'analyse pour un événement donné sans les données Whois et calcule l'indice sans les données.

Le paramètre par défaut est true

URL de requête

(Facultatif) Indiquez l'URL nécessaire pour obtenir les données Whois du service RSA Whois. Notez que la barre oblique ('/') de fin est obligatoire. Sinon, les demandes échouent.

La valeur par défaut est : https://cms.netwitness.com/whois/v2/query/

URL d'authentification

(Facultatif) Indiquez l'URL nécessaire pour obtenir les tokens d'authentification du service RSA Whois.

La valeur par défaut est : https://cms.netwitness.com/authlive/authenticate/WHOIS

You are here
Table of Contents > Références  > Configuration du service de recherche Whois

Attachments

    Outcomes