Configurer des données contextuelles à partir de Endpoint via un feed récurrent

Document created by RSA Information Design and Development on Apr 24, 2018
Version 1Show Document
  • View in full screen mode
 

Vous pouvez configurer des données RSA NetWitness Endpoint dans RSA NetWitness Suite pour fournir des données contextuelles à partir de NetWitness Endpoint aux sessions Decoder et Log Decoder. Cette configuration ajoute des métavaleurs contextuelles en plus des alertes IOC instantanées qui permettent de créer des corrélations à d'autres métadonnées dans l'écosystème NetWitness Suite.

Les administrateurs peuvent configurer NetWitness Suite afin d'utiliser les données contextuelles d'analyse du système NetWitness Endpoint via un feed récurrent NetWitness Suite Live. Cette intégration peut enrichir la session d'un Decoder ou Log Decoder avec des informations contextuelles affichées dans NetWitness Suite Investigation. Certains exemples incluent le système d'exploitation hôte, l'adresse MAC, le score IIOC et d'autres données qui peuvent ne pas être présentes dans les données de logs ou de paquets pour les sessions d’un Decoder ou Log Decoder.

Remarque : Bien que cette fonctionnalité soit ciblée pour les clients avec un paquet Decoder, un flux récurrent peut également être mis en œuvre dans les Log Decoders.

Attention : Dans les environnements avec de nombreux hôtes NetWitness Endpoint, l'utilisation de ce feed récurrent peut entraîner une diminution des performances sur les périphériques d'acquisition NetWitness Suite (Decoder et Log Decoder).

Conditions préalables

  • Serveur de console NetWitness Endpoint version 4.3.0.4, 4.3.0.5 ou 4.4 et Serveur NetWitness version 10.4 et supérieure installé.
  • RSA Decoder et Concentrator version 11.0 ou supérieure connecté au Serveur NetWitness sur le réseau.

Pour configurer des données contextuelles à partir de NetWitness Endpoint via un feed récurrent, procédez comme suit :

  1. Activez le feed NetWitness Endpoint pour NetWitness Suite dans l'interface utilisateur NetWitness Endpoint.
  2. Exportez le certificat de l'autorité de certification NetWitness Endpoint du serveur de console NetWitness Endpoint et importez-le vers le magasin d'approbations NetWitness Suite.
  3. Configurez le service NetWitness Suite Concentrator pour définir les clés méta qui sont indexées.
  4. Créez un feed récurrent dans NetWitness Suite Live.

Activer le feed NetWitness Endpoint pour NetWitness Suite

  1. Dans l’interface utilisateur NetWitness Endpoint, créez un utilisateur SQL dans NetWitness Endpoint :
    1. Ouvrez l'interface utilisateur NetWitness Endpoint et connectez-vous en utilisant les informations d'identification adéquates.
    2. Dans la barre de menus, sélectionnez Configure > Gestion des utilisateurs et rôles, effectuez un clic droit dans le volet, puis sélectionnez Créer un utilisateur SQL.
      La boîte de dialogue Créer un nouvel utilisateur SQL s'affiche.
      Create a new SQL server dialog
    3. Saisissez le Nom d'utilisateur et le Mot de passe, puis cliquez sur Créer.
  2. Dans la barre de menus, sélectionnez Configurer > Composants de surveillance et externes.
    .La boîte de dialogue Configuration des composants externes s'affiche. External Components Configuration dialog

  3. Dans NetWitness Suite, cliquez sur +.
    La boîte de dialogue NetWitness Suite s’affiche.
    NetWitness Suite Dialog
  4. Dans le panneau NetWitness Suite, sur On, entrez le nom pour identifier le composant NetWitness Suite.
  5. Dans le panneau Connexion à NetWitness Suite, procédez comme suit.
    1. Dans le champ Nom d’hôte/IP du serveur, saisissez le nom d'hôte ou l'adresse IP du Serveur NetWitness.
    2. Dans le champ Port, saisissez le numéro de port. Le numéro de port par défaut est 443.
  6. Dans le panneau Configurer NetWitness Suite, procédez comme suit :
    1. Dans le champ Fuseau horaire des serveurs, sélectionnez le fuseau horaire pour le composant dans la liste déroulante.
    2. Dans le champ Identifiant de périphérique, saisissez l'ID du périphérique du Concentrator NetWitness Suite.
  7. Remarque : Vous pouvez trouver l'identifiant du périphérique dans NetWitness Suite si vous chercher un Concentrator ou un Broker dans Procédure d'enquête > Naviguer ><Nom du Concentrator ou du Broker>. L'identifiant du périphérique est le numéro figurant dans l'URL après « investigation ». Par exemple, dans l’URL https://<IP address>investigation/319/navigate/values, l’identifiant du périphérique est 319.

Le champ URI est renseigné lorsque vous cliquez sur Enregistrer.

  1. Dans le panneau Optimisation des requêtes, dans le champ Ne pas exécuter de requête pour une période supérieure à, saisissez le nombre de jours auquel limiter la période de requête. Saisissez 0 pour ignorer cette fonctionnalité.
  2. Dans le panneau Période de requête, procédez comme suit :
    1. Dans le champ Minimum, saisissez le nombre de minutes correspondant à la période de requête minimale. Cette valeur sert à augmenter automatiquement la période soumise à NetWitness Suite. Une requête retourne ainsi une réponse positive si l'heure signalée par l'agent NetWitness Endpoint diffère légèrement de celle de NetWitness Endpoint.

    2. Dans le champ Maximum, saisissez le nombre de minutes pour limiter la période. Cette valeur sert à limiter automatiquement la période soumise à NetWitness Suite afin que les requêtes ne surchargent pas le Serveur NetWitness.
  3. Dans le panneau Configurer les feeds RSA NetWitness Endpoint pour NetWitness Suite, procédez comme suit :
    1. Sélectionnez Activer le feed RSA NetWitness Endpoint.
    2. Dans le champ URL, saisissez le Nom d'utilisateur et le Mot de passe SQL (configurés à l'étape 1) pour accéder à l'emplacement du feed.
      Le champ URL est renseigné lorsque vous cliquez sur Enregistrer.
    3. Saisissez l'intervalle de temps correspondant à la fréquence à laquelle les feeds sont publiés.
  4. Dans le panneau Intervalle de publication des feeds, dans le champ Intervalle de temps, sélectionnez l’intervalle de temps dans h et min pour la fréquence à laquelle les feeds sont publiés.
  5. Dans le panneau Activer l’accès URL pour l’utilisateur ci-dessous pour, saisissez le Nom d’utilisateur et Mot de passe de l’utilisateur NetWitness Endpoint.
  6. Cliquez sur Enregistrer.
    Un feed est créé.

Exporter le certificat SSL de NetWitness Endpoint

Remarque : Cette procédure ne fonctionne que pour NetWitness Suite 10.5 et version ultérieure, puisque la prise en charge de Java 8 a été ajoutée pour la version 10.5. Si vous utilisez une version antérieure de NetWitness Suite, reportez-vous à la version applicable de ce guide.

Pour exporter le certificat de l'autorité de certification NetWitness Endpoint à partir du serveur de console NetWitness Endpoint et le copier sur l'hôte NetWitness Suite :

  1. Connectez-vous à la console NetWitness Endpoint.
  2. Ouvrez MMC.
  3. Ajoutez un composant logiciel enfichable de certificat pour le compte d'ordinateur.
  4. Exportez le certificat nommé EcatCA.
    1. Effectuez l'exportation sans clé privée.
    2. Exportez au format binaire X.509 encodé DER (.CER).
    3. Nommez-le EcatCA.cer.
  5. Copiez le certificat de l'autorité de certification NetWitness Endpoint vers l'hôte NetWitness Suite :
    • Pour une nouvelle installation de NetWitness Endpoint 4.3.0.4, 4.3.0.5 ou 4.4 :
      scp NweCA.cer root@<sa-machine>:.
    • Pour des mises à niveau NetWitness Endpoint à partir d’une version précédente vers 4.3.0.4 ou 4.3.0.5 :
      scp EcatCA.cer root@<sa-machine>:.
  1. Pour importer le certificat d’autorité de certification NetWitness Endpoint dans le magasin d'approbations NetWitness Suite, procédez comme suit :
    1. Vérifiez la version Java installée sur votre NetWitness Suite à l’aide de la commande suivante :
      java -version
      La version openjdk s’affiche. Par exemple, la version openjdk «1.8.0_71»

    2. Pour définir le paramètre JDK, accédez au répertoire java. Saisissez les commandes suivantes :
    • JDK=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.141-1.b16.el7_3.x86_64/jre/

    • Pour une nouvelle installation NetWitness Endpoint:

      $JDK/bin/keytool -import -v -trustcacerts -alias nweca -file ~/NweCA.cer -keystore $JDK/lib/security/cacerts -storepass changeit

    • Pour une mise à niveau de NetWitness Endpoint à partir d’une version précédente :

      $JDK/bin/keytool -import -v -trustcacerts -alias ecatca -file ~/EcatCA.cer -keystore $JDK/lib/security/cacerts -storepass changeit

    Lorsque vous êtes invité à confirmer la mise à jour du certificat, Yes (oui).

  2. Sur l’hôte NetWitness Suite, exécutez l’une des opérations suivantes :
    • Pour une nouvelle installation de NetWitness Endpoint 4.3.0.4, 4.3.0.5 ou 4.4, modifiez /etc/hosts pour mapper l’adresse IP du serveur de console NetWitness Endpoint au nom NweServerCertificate en ajoutant la ligne suivante au fichier :

      <ip-address-ecat-cs> NweServerCertificate

    • Pour une mise à niveau de NetWitness Endpoint 4.3.0.4 ou 4.3.0.5 à partir d’une version précédente, modifiez /etc/hosts pour mapper l’adresse IP du serveur de console NetWitness Endpoint au nom ecatserverexported en ajoutant la ligne suivante au fichier :

      <ip-address-ecat-cs> ecatserverexported

  3. Pour redémarrer NetWitness Suite, saisissez les commandes suivantes :

    service jetty restart

Configurer le service NetWitness Suite Concentrator

  1. Connectez-vous à NetWitness Suite et accédez à ADMIN > Services.
  2. Sélectionnez un Concentrateur dans la liste, puis sélectionnez Vue > Config.
  3. Sélectionnez l'onglet Fichiers, et dans le menu déroulant Fichiers à modifier, sélectionnez index-concentrator-custom.xml.
  4. Ajoutez les clés métas NetWitness Endpoint suivantes au fichier, puis cliquez sur Appliquer. Vérifiez que ce fichier contient déjà les sections XML et si ce n'est pas le cas, ajoutez-les. Les lignes suivantes sont des exemples ; assurez-vous que les valeurs correspondent à votre configuration et les noms de colonne que vous avez inclus dans la définition du feed, où :
    description est le nom de la clé méta que vous souhaitez afficher dans la procédure d’enquête NetWitness Suite.
    niveau est « IndexValues ».
    nom correspond au nom de colonne du fichier CSV que NetWitness Suite utilise lors de la définition du feed récurrent (reportez-vous au tableau de Configurer la tâche de feed personnalisée récurrente dans NetWitness Suite ci-dessous).

    <key description="Gateway" format="Text" level="IndexValues" name="gateway" valueMax="250000" defaultAction="Open"/>

    <key description="Risk Number" format="Float64" level="IndexValues" name="risk.num" valueMax="250000" defaultAction="Open"/>

    <key description="Strans Addr" format="Text" level="IndexValues" name="stransaddr" valueMax="250000" defaultAction="Open"/>

    <key description="Domain" format="Text" level="IndexValues" name="domain" valueMax="250000" defaultAction="Open"/>

    <key description="User Account" format="Text" level="IndexValues" name="username" valueMax="250000" defaultAction="Open"/>

    <key description="Ecat Connectiontime" format="Text" level="IndexValues" name="ecat.ctime" valueMax="250000" defaultAction="Open"/>

    <key description="Ecat Scantime" format="Text" level="IndexValues" name="ecat.stime" valueMax="250000" defaultAction="Open"/>

  5. Redémarrez le Concentrator pour activer les mises à jour personnalisées.

Configurer la tâche de feed personnalisée récurrente dans NetWitness Suite

  1. Connectez-vous à NetWitness Suite et accédez à CONFIGURER > Feeds personnalisés.
    La vue Feeds s'affiche.
  2. Dans la barre d’outils, cliquez sur Add Icon.
    La boîte de dialogue Configurer le feed s’affiche.
  3. Dans la boîte de dialogue Configurer le feed, sélectionnez Personnaliser le feed, puis cliquez sur Suivant.
    Le panneau Configurer un feed personnalisé s'affiche avec le formulaire Définir le feed ouvert.
  4. Dans le champ Définir le feed, procédez comme suit :
    • Dans le champ Type de tâche de feed, sélectionnez Récurrent.
    • Dans le champ Nom, saisissez le nom du feed. Par exemple, EndpointFeed.
    • Dans le champ URL, saisissez l’URL avec le nom d'hôte du serveur Windows sur lequel est installé NetWitness Endpoint :
    1. Activez la case à cocher Authentifié et saisissez le nom d'utilisateur et le mot de passe tels que notés dans Activer le feed ECAT ci-dessus.
    1. Cliquez sur Vérifier pour vérifier si NetWitness Suite peut atteindre la ressource web.
    1. Définissez un calendrier, puis cliquez sur Suivant.Define Feed
  5. Sous l'onglet Sélectionner des services, sélectionnez le Decoder ou les groupes pour utiliser le feed. Cliquez sur Suivant.
  6. Sous l'onglet Définir des colonnes, saisissez les noms de colonnes comme indiqué dans le tableau ci-dessous et enregistrez le feed.Define Columns

Le tableau suivant présente les colonnes dans le fichier CSV pour le feed NetWitness Endpoint.

                                                                                   
ColonneNomDescriptionNom de la colonne dans NetWitness Suite (Nom de la clé méta)
1MachineNameNom d'hôte de l'agent Windowsalias.host
2LocalIpAdresse IPv4Type d’adresse IP (colonne indexée)
3RemoteIpAdresse IP distante telle qu'elle est vue par le routeurstransaddr
4GatewayIpAdresse IP de la passerellegateway
5MacAddressAdresse MACeth.src
6OperatingSystemSystème d'exploitation utilisé par l'agent WindowsSystème d’exploitation
7AgentIDID d'agent de l'hôte (ID unique attribué à l'agent)client
8ConnectionUTCTimeDernière heure à laquelle l'agent s'est connecté au serveur NetWitness Endpointecat.ctime
9Domaine sourceDomainedomain.src
10ScanUTC timeLa dernière fois que l'agent a été analyséecat.stime

11

UserName

Nom d'utilisateur de la machine cliente

username

12Note de l'ordinateurScore de l'agent indiquant le niveau suspectrisk.num

Remarque : Dans le tableau, le paramètre d'index recommandé est LocalIp. Toutefois, si le LocalIp pour PC de l’Agent NetWitness Endpoint est alloué par un serveur DHCP et le bail DHCP a expiré, et si l’adresse IP est ensuite réattribuée à un autre PC, les métadonnées créées par le feed seront incorrectes. Pour éviter ce risque, utilisez le nom de machine ou l’adresse Mac au lieu de l’adresse localIP comme index du feed. Par exemple, pour utiliser une adresse Mac, vous pouvez saisir les valeurs comme indiqué dans la figure suivante.

Mac address for the endpoint feed

Résultat

Lors de la visualisation des données de feed dans NetWitness Suite, en cas de correspondance de la valeur indexée (ip.src), les métadonnées sont renseignées dans les interfaces Investigation, Reporting, et Alerting.

You are here
Table of Contents > Configurer des données contextuelles à partir de Endpoint via un feed récurrent

Attachments

    Outcomes