MA : Configuration basique

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Malware Analysis peut fonctionner en tant que service sur un Decoder ou en tant que service sur une appliance dédiée. Ce guide explique comment configurer l'environnement d'exploitation, puis le service Malware Analysis. Une fois la configuration terminée, les analystes peuvent procéder à des analyses de malware.

Il s’agit des étapes de configuration requises pour Malware Analysis, de même que pour modifier la configuration. Suivez les étapes de la section dans l'ordre où elles sont indiquées.

Liste de contrôle de configuration de base

La liste de contrôle suivante précise l’ordre des tâches requises pour configurer Malware Analysis qui a été ajouté à NetWitness Suite conformément au Guide des hôtes et services.

                                                   
ÉtapeTâche générale
Étape 1 - Configurer l'environnement d’exploitation de Malware Analysis

Configurer l'environnement d’exploitation de Malware Analysis

Cette rubrique décrit les procédures de configuration de l'environnement d'exploitation de Security Analytics pour une connexion à un service Malware Analysis.

Étape 2 - Ajouter un hôte et un service Malware Analysis

Ajouter un hôte et un service Malware Analysis

Remarque : Pour effectuer cette étape, le serveur de licences NetWitness Suite doit être configuré comme décrit dans le Guide d'octroi des licences. 

Dans NetWitness Suite, créez un service Malware Analysis et activez la licence. Le port REST par défaut est 60007. Les sites qui utilisent la version gratuite de Malware Analysis doivent configurer l'adresse IP du service en tant qu'hôte local ou boucle de rappel.

Étape 3 - Configurer les paramètres généraux de Malware Analysis

Configurer les paramètres généraux de Malware Analysis

  • Activez le rappel continu.
  • Configurez la limite de téléchargement manuel des fichiers
  • Configurez le référentiel de stockage de fichiers et la base de données.
  • Calibrez les modules d'évaluation Statique, Réseau, Communauté et Sandbox.
Étape 4 - Configurer les Indicateurs de compromission

Configurer les Indicateurs de compromission

Calibrez les indicateurs de compromission (IOC) qui sont appliqués à ce module d'évaluation (Statique, Réseau, Communauté et Sandbox) et aux IOC YARA.

Étape 5 - Configurer les fournisseurs d'antivirus installés

Configurer les fournisseurs d'antivirus installés

Étape 6 - Activer l'évaluation du score de la Communauté

Activer l’analyse de la communauté

S'enregistrer au RSA Cloud et tester les connexions pour activer l'évaluation du score de la communauté.

Étape 7 - Configurer l'auditing sur l'hôte Malware Analysis

(Facultatif) Configurer l'auditing sur l'hôte Malware Analysis

Configurez le seuil d'audit et activez syslog, SNMP et l'audit des fichiers.

Étape 8 - Configurer le filtre de hachage

(Facultatif) Configurer le filtre de hachage

Configurez le filtrage de hachage pour perfectionner l'analyse des événements Malware Analysis d'après des hachages de fichiers connus, bons ou mauvais.

Étape 9 - Configurer les paramètres proxy de Malware Analysis

(Facultatif) Configurer les paramètres proxy de Malware Analysis

(Facultatif) Configurez Malware Analysis pour communiquer avec RSA Cloud via un proxy Web et non directement.

Étape 10 - Inscrivez-vous pour recevoir une clé API ThreatGrid

(Facultatif) Enregistrez-vous pour recevoir une clé API ThreatGrid

You are here
Table of Contents > Configuration de Malware Analysis

Attachments

    Outcomes