MA : Configurer l'environnement d’exploitation de Malware Analysis

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

 

Vous pouvez configurer l’environnement d’exploitation NetWitness Suite pour vous connecter à un service NetWitness Suite Malware Analysis.

Malware Analysis fonctionne en tant que service sur une appliance Malware Analysis dédiée. Si votre site utilise une appliance dédiée, effectuez l'une des actions suivantes :

  • Si votre site ajoute une nouvelle appliance NetWitness Suite Malware Analysis dédiée, installez l’appliance physique sur votre réseau et configurez l’environnement d’exploitation.
  • Si votre site met à niveau une appliance Spectrum dédiée vers une appliance NetWitness Suite Malware Analysis dédiée, créez une nouvelle image de l’appliance Spectrum en tant qu’appliance Malware Analysis.

Le fonctionnement de Malware Analysis dépend de l’infrastructure Core. Les étapes suivantes sont nécessaires avant que Malware Analysis ne puisse analyser les données correctement.

  1. Configurez le Broker intégré sur l’appliance Malware Analysis pour connecter un autre Broker ou Concentrator dans l’infrastructure Core existante.

Remarque : En l'absence d'une infrastructure Core, seuls les fichiers téléchargés manuellement peuvent être analysés.

  1. Utilisez NetWitness Suite Live pour rechercher toutes les ressources Live avec la balise malware analysis et déployez ces ressources vers chaque service Decoder qui capturera le trafic à analyser par Malware Analysis. NetWitness Suite utilise cet ensemble propriétaire d’analyseurs et de feeds pour rechercher des événements qui sont susceptibles d’être un malware.
  2. Configurez les ports de communication. Malware Analysis requiert l'ouverture d'un nombre de ports de communication différents, notamment le port TCP/443 pour HTTPS. Ils sont décrits ci-dessous dans la rubrique Connexions réseau.
  3. Configurez la source NextGen à laquelle se connectera Malware Analysis. Il s’agit du Broker ou Concentrator.
    Malware Analysis est désormais prêt à commencer à analyser le trafic réseau.

Connexions réseau

Les connexions réseau entrantes et sortantes doivent être configurées pour que l'appliance Malware Analysis puisse communiquer correctement avec les services et les sources RSA afin de recevoir les mises à jour logicielles et d'autres informations critiques.

Le pare-feu de votre réseau doit être configuré pour permettre à Malware Analysis d'accéder à Internet. Les serveurs proxy peuvent être utilisés pour faciliter ces connexions, le cas échéant.

Connexions entrantes

TCP/22 - Accès SSH (Secure Shell) au serveur Malware Analysis pour examiner les fichiers logs et effectuer les corrections nécessaires. L'accès peut être limité aux adresses IP qui gèrent Malware Analysis.

  • TCP/443 - Connexion Web HTTPS pour accéder à l’interface utilisateur de Malware Analysis.
  • TCP/50008 - Port JMX pour résoudre les problèmes de performances, en utilisant une application telle que JVisualVM. (Facultatif) L'accès peut être limité aux adresses IP qui gèrent Malware Analysis.

Connexions sortantes

  • TCP/443 - Connexions HTTPS aux serveurs Web SSL. Certaines fonctionnalités Malware Analysis permettent d'envoyer des fichiers ou des documents vers des serveurs pour analyse, ce qui requiert une connexion sécurisée. L'utilisation d'un server proxy Web est prise en charge.
  • (TCP/443 - Connexion SSL entre Malware Analysis vers le Cloud RSA. L’utilisation d’un serveur SOCKS Proxy est prise en charge. Les modifications de l’infrastructure client peuvent être nécessaires pour s’assurer que le port 443 est ouvert sur cloud.netwitness.com.)
  • TCP/50103 - Port API REST utilisé pour communiquer avec un Broker (NetWitness Suite 10.3.x et versions antérieures).
  • TCP/50105 - Port API REST utilisé pour communiquer avec un Concentrator (NetWitness Suite 10.3.x et versions antérieures).
  • TCP/50003 TCP/56003 - Ports permettant de communiquer avec un service Broker (NetWitness Suite 10.4 et versions ultérieures).
  • TCP/50005 TCP/56005 - Ports permettant de communiquer avec un service Concentrator (NetWitness Suite 10.4 et versions ultérieures).
  • ICMP - Connexion JMS entre NetWitness Suite et le service Malware Analysis pour vérifier si le nom d'hôte et l'adresse IP saisis sont valides et si la connexion de test est établie.
You are here
Table of Contents > Configuration de Malware Analysis > Étape 1.  Configurer l'environnement d'exploitation Malware Analysis

Attachments

    Outcomes