Intégration du point de terminaison RSA

Document created by RSA Information Design and Development on Apr 24, 2018
Version 1Show Document
  • View in full screen mode
 

Les clients RSA qui utilisent RSA NetWitness Endpoint 4.3.0.4, 4.3.0.5 ou 4.4 peuvent intégrer NetWitness Endpoint et RSA NetWitness Suite de différentes manières. Ce guide est pour RSA NetWitness Suite version 11.0.

Options d’intégration

Intégration du point de terminaison NetWitness avec NetWitness Suite

Recherche du point de terminaison NetWitness intégrée

Avec l'interface utilisateur RSA NetWitness Endpoint installée sur la même machine que le navigateur utilisé par l'analyste pour accéder à NetWitness Suite, la recherche NetWitness Endpoint intégrée à partir de NetWitness Suite Investigation et NetWitness Suite Répondre fournit un accès par clic droit au serveur de la console NetWitness Endpoint pour les clés méta suivantes : adresse IP (ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip), host (alias-host, domain.dst), client et file-hash. Elles sont décrites dans la rubrique « Lancer la recherche externe d'une clé méta » dans le Guide Investigation et Malware Analysis et dans la rubrique « Afficher les alertes » dans le Guide de l’utilisateur NetWitness Respond.

La configuration de NetWitness Suite n'est pas requise pour la recherche du point de terminaison lorsque vous utilisez l'un des parsers intégrés, NetWitness Endpoint ou CEF, et que vous n'avez pas personnalisé les clés méta par défaut utilisées lors du chargement des métadonnées dans Investigation. Pour plus d’informations, consultez la rubrique « Gérer et appliquer des clés méta par défaut dans une investigation » dans le Guide d’utilisation Investigation et Malware Analysis.

Remarque : Une exception se produit si vous personnalisez NetWitness Suite en modifiant le paramètre d'affichage pour les clés méta par défaut dans Investigation, si vous ajoutez les clés méta au fichier table-map-custom.xml, ou si vous personnalisez les flux NetWitness Endpoint. Un certain degré de configuration est nécessaire pour ajouter les clés méta personnalisées au menu contextuel Recherche NetWitness Endpoint dans la vue ADMIN > Système, comme décrit dans la rubrique « Actions du menu Ajouter un contexte personnalisé » dans le Guide de configuration système.

Méthodes d'intégration

Avec un RSA NetWitness Endpoint 4.3.0.4, 4.3.0.5 ou un serveur de console 4.4 installé sur un hôte Windows et la configuration correcte de NetWitness Endpoint et de NetWitness Suite par un administrateur, trois autres intégrations des données d’analyse NetWitness Endpoint sont possibles.

Voici les méthodes d’intégration RSA NetWitness Endpoint :

  • Configurer des alertes de point de terminaison via les bus de messages
  • Configurer des données contextuelles à partir du point de terminaison via un flux récurrent
  • Configurer des alertes de point de terminaison via Syslog dans un Log Decoder

Alertes de point de terminaison via le bus de messages dans NetWitness Respond. Cette intégration offre la possibilité de transférer les alertes de point de terminaison vers Répondre via le bus de messages.

Données contextuelles depuis le point de terminaison via un flux récurrent NetWitness Suite Live. Cette intégration peut enrichir la session affichée dans NetWitness Suite Investigation avec des informations contextuelles ; par exemple, le système d'exploitation hôte, l'adresse MAC, le score IIOC et d'autres données qui peuvent ne pas être présents dans les données du log ou du paquet.

Alertes NetWitness Endpoint via Syslog (CEF) dans les Log Decoders NetWitness Suite. Cette intégration offre la possibilité de transférer les événements de point de terminaison via Syslog et de corréler les événements avec d’autres métadonnées de log ou paquets dans l’écosystème NetWitness Suite.

Intégration des métadonnées du point de terminaison NetWitness

L’intégration des métadonnées NetWitness Endpoint avec RSA NetWitness Suite offre aux clients qui ont les deux produits un moyen de tirer le meilleur parti de leurs produits dans une seule interface utilisateur. Le schéma suivant illustre comment le point de terminaison NetWitness s’intègre avec la NetWitness Suite. Les métadonnées du point de terminaison NetWitness sont collectées et publiées à partir de toutes les machines où les agents de point de terminaison NetWitness sont déployés et ensuite transmises au Log Decoder NetWitness Suite.

Les métadonnées peuvent ensuite être visualisées dans le Concentrator NetWitness Suite associé et également dans NetWitness Suite Investigate.

Intégration des métadonnées au point de terminaison NetWitness

Indicateurs de compromission et alertes du point de terminaison NetWitness

Un indicateur de compromission instantané NetWitness Endpoint est une requête de base de données qui exécute NetWitness Endpoint sur des données d'analyse NetWitness Endpoint collectées pour déterminer la présence de logiciels malveillants potentiels sur des hôtes analysés. RSA NetWitness Endpoint version 4.1.2 et ultérieure est livré avec des indicateurs de compromission que l'utilisateur peut activer et marquer comme pouvant être alertés. RSA NetWitness Endpoint exécute les requêtes des indicateurs de compromission régulièrement sur les nouvelles données d'analyse, qui sont collectées et stockées dans la base de données. Si la requête de l'indicateur de compromission est satisfaite, cela indique un indicateur potentiel de compromission, et l'événement peut être signalé à un utilisateur ou envoyé à un système externe comme une alerte.

Voici les types possibles d'alerte :

  • Alerte de machine : Cette alerte indique que la machine en question est suspecte.
  • Alerte de module : cette alerte indique qu'un module, tel qu'un fichier, une DLL ou un exécutable, est suspect. Elle contient des détails sur le module en question.
  • Alerte d'événement : cette alerte représente toute autre activité suspecte détectée par NetWitness Endpoint qui n'entre pas dans les catégories énoncées ci-dessus.

Chacun de ces types d'alerte peut être associé et envoyé à NetWitness Suite.

You are here
Table of Contents > Intégration de RSA Endpoint

Attachments

    Outcomes