Configurer des alertes de point de terminaison via les bus de messages

Document created by RSA Information Design and Development on Apr 24, 2018
Version 1Show Document
  • View in full screen mode
 

Cette procédure est requise pour intégrer NetWitness Endpoint avec NetWitness Suite de façon à ce que les alertes NetWitness Endpoint soient relevées par le composant Répondre de NetWitness Suite et affichées dans la vue RÉPONDRE > Alertes.

Remarque : RSA prend en charge NetWitness Endpoint versions 4.3.0.4, 4.3.0.5 ou 4.4 pour l’intégration de NetWitness Respond. Pour plus d’informations, consultez la rubrique « Intégration de RSA NetWitness Suite » dans le Guide d’utilisation du point de terminaison NetWitness.

Le diagramme ci-dessous représente le flux d’alertes NetWitness Endpoint de la liste des incidents Répondre de NetWitness Suite et il affiche la vue RÉPONDRE > Alertes.

Alertes de point de terminaison via le bus de messages

Conditions préalables

Assurez-vous de disposer de ce qui suit :

  • Le service de réponse est installé et en cours d’exécution sur NetWitness Suite 11.0.
  • NetWitness Endpoint 4.3.0.4, 4.3.0.5 ou 4.4 est installé et en cours d’exécution.

Configurer NetWitness Endpoint pour transférer des alertes NetWitness Endpoint

Pour configurer NetWitness Endpoint de manière à envoyer des alertes sur le bus de messages à l'interface utilisateur NetWitness Suite :

  1. Dans l'interface utilisateur NetWitness Endpoint, cliquez sur Configurer > Composants de surveillance et externes.

    La boîte de dialogue Configuration des composants externes s'affiche.
    Point de terminaison NetWitness - boîte de dialogue Configuration des composants externes

    1. À partir des composants de la liste, sélectionnez Incident Message Broker, puis cliquez sur + pour ajouter un nouveau composant IM broker.
  2. Saisissez des valeurs pour les champs suivants :

    1. Nom de l’instance : Saisissez un nom unique pour identifier le composant IM broker.
    2. Nom d'hôte/adresse IP du serveur : Saisissez le DNS de l'hôte ou l'adresse IP du composant IM Broker (Serveur NetWitness).
    3. Numéro de port : Le port par défaut est 5671.
  3. Cliquez sur Enregistrer.
  4. Accédez au fichier ConsoleServer.exe.config file dans C:\Program Files\RSA\ECAT\Server.
  5. Modifiez les configurations d’hôte virtuel dans le fichier comme suit :
    <add key="IMVirtualHost" value="/rsa/system" />

  6. Remarque : Dans NetWitness Suite 11.0, l’hôte virtuel est « / rsa/system ». Pour la version 10.6.x et précédente, l’hôte virtuel est « / rsa/sa ».

  7. Redémarrez le serveur API et le serveur de console.

  8. Pour configurer SSL pour les alertes de réponse, effectuez la procédure suivante sur le serveur de console primaire NetWitness Endpoint pour définir les communications SSL :

    1. Exportez le certificat de l'autorité de certification NetWitness Endpoint au format .CER (chaîne codée X.509 Base 64) du magasin de certificats personnel de l'ordinateur local (sans sélectionner la clé privée).
    2. Générez un certificat client pour NetWitness Endpoint à l’aide du certificat d’autorité de certification NetWitness Endpoint. (Vous devez définir le nom CN sur ecat).

      makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "NweCA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer

      Remarque : Dans l’exemple de code ci-dessus, si vous avez effectué une mise à niveau vers la version 4.3 du point de terminaison à partir d’une version précédente et que vous n’avez pas généré de nouveaux certificats, vous devez remplacer « EcatCA » par « NweCA ».

    3. Notez l'empreinte du certificat client généré à l'étape b. Saisissez la valeur d'empreinte du certificat client dans la rubrique IMBrokerClientCertificateThumbprint du fichier ConsoleServer.Exe.Config comme indiqué.

      <add key="IMBrokerClientCertificateThumbprint" value="896df0efacf0c976d955d5300ba0073383c83abc"/>

  9. Sur le Serveur NetWitness, copiez le fichier de certificat d’autorité de certification NetWitness Endpoint dans le format .CER dans le dossier d’importation :
    /etc/pki/nw/trust/import

  10. Exécutez la commande suivante pour démarrer l’exécution de Chef nécessaire :
    orchestration-cli-client --update-admin-node
    Elle ajoute tous les certificats dans le magasin d’approbations.

  11. Redémarrez le serveur RabbitMQ :
    systemctl restart rabbitmq-server
    Le compte NetWitness Endpoint doit être automatiquement disponible sur RabbitMQ.

  12. Importez les fichiers /etc/pki/nw/ca/nwca-cert.pem et /etc/pki/nw/ca/ssca-cert.pem à partir de Serveur NetWitness et ajoutez-les dans les magasins de certificats racines de confiance sur le serveur de point de terminaison.

Résolution des problèmes

Cette rubrique suggère comment résoudre les problèmes que vous pouvez rencontrer lorsque vous configurez des alertes de point de terminaison NetWitness via le bus de messages.

             
Problèmes connusSolutions
L’orchestration échoue sur un nœud d’administration.Vous devez copier et coller le contenu du certificat EcatCA dans /etc/rabbitmq/ssl/truststore.pem et redémarrez le service Rabbitmq.
You are here
Table of Contents > Configurer des alertes Endpoint via les bus de messages

Attachments

    Outcomes