Cette procédure est requise pour intégrer NetWitness Endpoint avec NetWitness Suite de façon à ce que les alertes NetWitness Endpoint soient relevées par le composant Répondre de NetWitness Suite et affichées dans la vue RÉPONDRE > Alertes.
Remarque : RSA prend en charge NetWitness Endpoint versions 4.3.0.4, 4.3.0.5 ou 4.4 pour l’intégration de NetWitness Respond. Pour plus d’informations, consultez la rubrique « Intégration de RSA NetWitness Suite » dans le Guide d’utilisation du point de terminaison NetWitness.
Le diagramme ci-dessous représente le flux d’alertes NetWitness Endpoint de la liste des incidents Répondre de NetWitness Suite et il affiche la vue RÉPONDRE > Alertes.
Conditions préalables
Assurez-vous de disposer de ce qui suit :
- Le service de réponse est installé et en cours d’exécution sur NetWitness Suite 11.0.
- NetWitness Endpoint 4.3.0.4, 4.3.0.5 ou 4.4 est installé et en cours d’exécution.
Configurer NetWitness Endpoint pour transférer des alertes NetWitness Endpoint
Pour configurer NetWitness Endpoint de manière à envoyer des alertes sur le bus de messages à l'interface utilisateur NetWitness Suite :
-
Dans l'interface utilisateur NetWitness Endpoint, cliquez sur Configurer > Composants de surveillance et externes.
La boîte de dialogue Configuration des composants externes s'affiche.
- À partir des composants de la liste, sélectionnez Incident Message Broker, puis cliquez sur + pour ajouter un nouveau composant IM broker.
-
Saisissez des valeurs pour les champs suivants :
- Nom de l’instance : Saisissez un nom unique pour identifier le composant IM broker.
- Nom d'hôte/adresse IP du serveur : Saisissez le DNS de l'hôte ou l'adresse IP du composant IM Broker (Serveur NetWitness).
- Numéro de port : Le port par défaut est 5671.
- Cliquez sur Enregistrer.
- Accédez au fichier ConsoleServer.exe.config file dans C:\Program Files\RSA\ECAT\Server.
-
Modifiez les configurations d’hôte virtuel dans le fichier comme suit :
<add key="IMVirtualHost" value="/rsa/system" /> -
Redémarrez le serveur API et le serveur de console.
-
Pour configurer SSL pour les alertes de réponse, effectuez la procédure suivante sur le serveur de console primaire NetWitness Endpoint pour définir les communications SSL :
- Exportez le certificat de l'autorité de certification NetWitness Endpoint au format .CER (chaîne codée X.509 Base 64) du magasin de certificats personnel de l'ordinateur local (sans sélectionner la clé privée).
-
Générez un certificat client pour NetWitness Endpoint à l’aide du certificat d’autorité de certification NetWitness Endpoint. (Vous devez définir le nom CN sur ecat).
makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "NweCA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer
Remarque : Dans l’exemple de code ci-dessus, si vous avez effectué une mise à niveau vers la version 4.3 du point de terminaison à partir d’une version précédente et que vous n’avez pas généré de nouveaux certificats, vous devez remplacer « EcatCA » par « NweCA ».
-
Notez l'empreinte du certificat client généré à l'étape b. Saisissez la valeur d'empreinte du certificat client dans la rubrique IMBrokerClientCertificateThumbprint du fichier ConsoleServer.Exe.Config comme indiqué.
<add key="IMBrokerClientCertificateThumbprint" value="896df0efacf0c976d955d5300ba0073383c83abc"/>
-
Sur le Serveur NetWitness, copiez le fichier de certificat d’autorité de certification NetWitness Endpoint dans le format .CER dans le dossier d’importation :
/etc/pki/nw/trust/import -
Exécutez la commande suivante pour démarrer l’exécution de Chef nécessaire :
orchestration-cli-client --update-admin-node
Elle ajoute tous les certificats dans le magasin d’approbations. -
Redémarrez le serveur RabbitMQ :
systemctl restart rabbitmq-server
Le compte NetWitness Endpoint doit être automatiquement disponible sur RabbitMQ. - Importez les fichiers /etc/pki/nw/ca/nwca-cert.pem et /etc/pki/nw/ca/ssca-cert.pem à partir de Serveur NetWitness et ajoutez-les dans les magasins de certificats racines de confiance sur le serveur de point de terminaison.
Remarque : Dans NetWitness Suite 11.0, l’hôte virtuel est « / rsa/system ». Pour la version 10.6.x et précédente, l’hôte virtuel est « / rsa/sa ».
Résolution des problèmes
Cette rubrique suggère comment résoudre les problèmes que vous pouvez rencontrer lorsque vous configurez des alertes de point de terminaison NetWitness via le bus de messages.