Présentation de la configuration de NetWitness Respond

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

RSA NetWitness® Suite  NetWitness Respond utilise les données d'alerte issues de diverses sources via le bus de messages et affiche ces alertes dans l'interface utilisateur NetWitness Suite. Le service Service du serveur Respond vous permet de grouper les alertes de manière logique et de lancer un workflow NetWitness Respond pour rechercher les problèmes de sécurité qui se sont produits et y remédier. 

Le service Service du serveur Respond utilise les alertes provenant du bus de messages et standardise les données en un format commun (tout en conservant les données initiales) afin de simplifier l'exécution des règles. Il exécute périodiquement des règles pour agréger plusieurs alertes en un incident et définir certains attributs de l'incident (par exemple gravité, catégorie, etc.). Les incidents sont conservés dans MongoDb par le service Service du serveur Respond. Les incidents sont aussi publiés sur le bus de messages pour être utilisés par d'autres systèmes (par exemple l'intégration Archer).

Remarque : NetWitness Respond nécessite un serveur primaire ESA qui contient l’instance MongoDb. Les enregistrements d’alertes, d’incidents et de tâches sont conservés dans cette instance MongoDb par le serveur de réponse.

Le schéma suivant illustre le flux général des alertes.

Schéma du flux de données général des alertes

Vous devez configurer différentes sources depuis lesquelles les alertes sont collectées et agrégées par le service Service du serveur Respond.

You are here
Table of Contents > À propos de ce document > Présentation de la configuration de NetWitness Respond

Attachments

    Outcomes