MA: Configurar el ambiente operativo de Malware Analysis

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

 

Puede configurar el ambiente operativo de NetWitness Suite para conectarse a un servicio NetWitness Suite Malware Analysis.

Malware Analysis funciona como un servicio en un dispositivo Malware Analysis exclusivo. Si el sitio usa un dispositivo exclusivo, realice una de las siguientes acciones:

  • Si el sitio agrega un nuevo dispositivo NetWitness Suite Malware Analysis exclusivo, instale el dispositivo físico en su red y configure el ambiente operativo.
  • Si el sitio actualiza un dispositivo Spectrum exclusivo a un dispositivo NetWitness Suite Malware Analysis exclusivo, vuelva a crear la imagen del dispositivo Spectrum como un dispositivo de Malware Analysis.

Malware Analysis depende de la infraestructura de Core para funcionar. Los siguientes pasos son necesarios para que Malware Analysis pueda analizar datos correctamente.

  1. Configure el Broker incorporado en el dispositivo Malware Analysis para conectar otro Broker o Concentrator a la infraestructura de Core existente.

Nota: Si la infraestructura de Core no existe, solo se pueden analizar los archivos cargados de forma manual.

  1. Use NetWitness Suite Live para buscar todos los recursos de Live con la etiqueta malware analysis, e implemente estos recursos en cada servicio Decoder que capturará tráfico para las funciones de análisis de Malware Analysis. NetWitness Suite usa este conjunto de analizadores y feeds de propiedad para buscar eventos que probablemente correspondan a malware.
  2. Configure los puertos de comunicaciones. Malware Analysis requiere que diversos puertos de comunicación estén abiertos, incluido TCP/443 para HTTPS. Estos puertos se describen más adelante en Conexiones de red.
  3. Configure el origen de NextGen con el cual se conectará Malware Analysis. Este es el Broker o el Concentrator.
    Malware Analysis ya está listo para comenzar a analizar el tráfico de red.

Conexiones de red

Las conexiones de red entrantes y salientes se deben configurar para que el dispositivo Malware Analysis se comunique correctamente con los servicios, los orígenes de RSA para las actualizaciones de software y otra información importante.

El firewall de la red se debe configurar para permitir el acceso de Malware Analysis a Internet. De ser necesario, se pueden usar servidores proxy para facilitar estas conexiones.

Conexiones entrantes

TCP/22: Acceso del protocolo SSH al servidor de Malware Analysis para revisar archivos de registro y solucionar problemas. El acceso se puede limitar a las direcciones IP que administrarán Malware Analysis.

  • TCP/443: Conexión web HTTPS para acceder a la interfaz del usuario de Malware Analysis.
  • TCP/50008: puerto JMX para solucionar problemas de rendimiento mediante el uso de una aplicación como JVisualVM. Es opcional y el acceso se puede limitar a las direcciones IP que administrarán Malware Analysis.

Conexiones salientes

  • TCP/443: conexiones HTTPS con servidores web basados en SSL. Entre algunas de las funciones, se incluye que Malware Analysis envíe archivos o documentos a servidores para el análisis, lo cual requiere una conexión segura. Compatible con el uso de un servidor proxy web.
  • (TCP/443: Conexión SSL desde Malware Analysis a RSA Cloud. Se admite el uso de un servidor proxy SOCKS. Pueden ser necesarios cambios en la infraestructura del cliente para garantizar que el puerto 443 esté abierto para cloud.netwitness.com).
  • TCP/50103: Puerto de la API REST que se usa para comunicarse con un Broker (NetWitness Suite 10.3.x y anterior).
  • TCP/50105: Puerto de la API REST que se usa para comunicarse con un Concentrator (NetWitness Suite 10.3.x y anterior).
  • TCP/50003 TCP/56003: Puertos que se usan para comunicarse con un Broker (NetWitness Suite 10.4 y superior).
  • TCP/50005 TCP/56005: Puertos que se usan para comunicarse con un Concentrator (NetWitness Suite 10.4 y superior).
  • Conexión ICMP-JMS desde NetWitness Suite al servicio Malware Analysis para verificar si la dirección IP y el nombre de host ingresados son válidos para una conexión de prueba correcta.
You are here
Table of Contents > Configuración de Malware Analysis > Paso 1. Configurar el ambiente operativo de Malware Analysis

Attachments

    Outcomes