Configuration de Respond : Étape 1. Configurer les sources d’alertes pour afficher les alertes dans la vue Répondre

Document created by RSA Information Design and Development on Apr 23, 2018
Version 1Show Document
  • View in full screen mode
 

Cette procédure est requise pour que les alertes provenant des sources d'alerte soient affichées dans NetWitness Respond. Une option vous permet d'activer ou de désactiver les alertes renseignées dans la vue Répondre. Par défaut, cette option est désactivée dans Reporting Engine, Malware Analytics et NetWitness Endpoint et activée uniquement dans Event Stream Analysis. Ainsi, lorsque vous installez le service Service du serveur Respond, vous devez activer cette option dans Reporting Engine, Malware Analytics et NetWitness Endpoint pour renseigner les alertes correspondantes dans la vue Répondre.

Conditions préalables

Assurez-vous que :

  • le Service du serveur Respond est installé et fonctionne sur NetWitness Suite.
  • une base de données est configurée pour le Service du serveur Respond.
  • NetWitness Endpoint est installé et fonctionne.

Configurer Reporting Engine pour qu’il affiche les alertes déclenchées par Reporting Engine dans la vue Répondre.

Par défaut, les alertes Reporting Engine ne s’affichent pas dans la vue Répondre. Pour afficher et visualiser les alertes Reporting Engine, vous devez activer les alertes NetWitness Respond dans la vue Configuration des services > onglet Général de Reporting Engine.

  1. Accédez à ADMIN > Services, sélectionnez un service Reporting Engine et cliquez sur Icône Actions > Vue > Config.
    La vue Configuration des services s'ouvre sur l'onglet Général du Reporting Engine.
  2. Sélectionnez Configuration système.
  3. Activez la case à cocher Transférer des alertes vers Respond.
    Reporting Engine transfère immédiatement les alertes vers NetWitness Respond.

Pour plus d'informations sur les paramètres de l'onglet Général, consultez la rubrique « Onglet Général du Reporting Engine » dans le Guide de configuration de Reporting Engine.

Configurer Malware Analytics pour afficher les alertes déclenchées par Malware Analytics dans la vue Respond

L'affichage des alertes NetWitness Respond est une fonction d'audit de Malware Analysis. La procédure d'activation des alertes NetWitness Respond est décrite dans la rubrique « (Facultatif) Configurer l'auditing sur l'hôte Malware Analysis » du Guide de configuration de Malware Analysis.

Configurer NetWitness Endpoint pour afficher les alertes déclenchées par NetWitness Endpoint dans la vue Répondre

Cette procédure est requise pour intégrer NetWitness Endpoint avec NetWitness Suite de façon à ce que les alertes NetWitness Endpoint soient relevées par le composant NetWitness Respond de NetWitness Suite et affichées dans la vue RÉPONDRE > Alertes.

Remarque : RSA prend en charge NetWitness Endpoint 4.3.0.4, 4.3.0.5 ou une version ultérieure pour l’intégration de NetWitness Respond. Pour plus d’informations, reportez-vous à la rubrique « Intégration de RSA NetWitness Suite » dans NetWitness Endpoint Guide d’utilisation.

Le schéma ci-dessous représente le flux d'alertes NetWitness Endpoint vers le NetWitness Suite Service du serveur Respond et son affichage dans la vue RÉPONDRE > Alertes.

Schéma représentant le flux des alertes NetWitness Endpoint vers le service Respond et son affichage dans la vue RÉPONDRE > Alertes.

Configurer NetWitness Endpoint pour afficher les alertes NetWitness Endpoint

Pour configurer NetWitness Endpoint pour qu’il affiche les alertes NetWitness Endpoint dans l'interface utilisateur NetWitness Suite :

  1. Dans l'interface utilisateur NetWitness Endpoint, cliquez sur Configurer > Composants de surveillance et externes.

    La boîte de dialogue Configuration des composants externes s'affiche.
    NetWitness Endpoint - Boîte de dialogue Configuration des composants externes

  2. Dans les composants répertoriés, sélectionnez Incident Message Broker, puis cliquez sur + pour ajouter un nouveau composant IM Broker.
  3. Renseignez les champs suivants :

    1. Nom de l’instance : Indiquez un nom spécifique pour identifier le composant IM Broker.
    2. Nom d'hôte ou adresse IP du serveur : Saisissez le DNS de l'hôte ou l'adresse IP du composant IM Broker (Serveur NetWitness).
    3. Numéro de port : Le port par défaut est le port 5671.
  4. Cliquez sur Enregistrer.
  5. Accédez au fichier ConsoleServer.exe.Config dans C:\Program Files\RSA\ECAT\Server.
  6. Modifiez les configurations d’hôte virtuel dans le fichier comme suit :
    <add key="IMVirtualHost" value="/rsa/system" />

  7. Remarque : dans NetWitness Suite 11.0, l’hôte virtuel est « /rsa/system ». Pour la version 10.6.x et les versions antérieures, l’hôte virtuel est « /rsa/sa ».

  8. Redémarrez le serveur API et le serveur de console.

  9. Pour configurer SSL pour les alertes Respond, suivez la procédure ci-dessous sur le serveur de console primaire NetWitness Endpoint pour définir les communications SSL :

    1. Exportez le certificat de l'autorité de certification NetWitness Endpoint au format .cer (chaîne codée X.509 Base 64) du magasin de certificats personnel de l'ordinateur local (sans sélectionner la clé privée).
    2. Générez un certificat client pour NetWitness Endpoint à l’aide du certificat de l'autorité de certification NetWitness Endpoint. (Vous DEVEZ définir le nom CN sur ecat).

      makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "NWECA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer

      Remarque : Dans l’exemple de code ci-dessus, si vous avez mis à niveau vers Endpoint version 4.3 à partir d’une version précédente et que nous n’avez pas généré de nouveaux certificats, vous devez remplacer par « NWECA » par « EcatCA ».

    3. Notez l'empreinte du certificat client généré à l'étape b. Saisissez la valeur d'empreinte du certificat client dans la section IMBrokerClientCertificateThumbprint du fichier ConsoleServer.Exe.Config comme indiqué.

      <add key="IMBrokerClientCertificateThumbprint" value="896df0efacf0c976d955d5300ba0073383c83abc"/>

  10. Sur Serveur NetWitness, copiez le fichier de certificat d’autorité de certification NetWitness Endpoint au format .cer dans le dossier de l’importation :
    /etc/pki/nw/trust/import

  11. Exécutez la commande suivante pour démarrer l’exécution de Chef nécessaire :
    orchestration-cli-client --update-admin-node
    Cette opération ajoute tous ces certificats au magasin d’approbations.

  12. Redémarrez le serveur RabbitMQ :
    systemctl restart rabbitmq-server
    Le compte NetWitness Endpoint doit être automatiquement disponible sur RabbitMQ.

  13. Importez les fichiers /etc/pki/nw/ca/nwca-cert.pem et /etc/pki/nw/ca/ssca-cert.pem à partir de Serveur NetWitness et ajoutez-les aux magasins de certification racines de confiance sur le serveur Endpoint.
You are here
Table of Contents > Configuration de NetWitness Respond > Étape 1.  Configurer les sources d’alertes pour afficher les alertes dans NetWitness Respond

Attachments

    Outcomes