Configuración de Respond: Paso 1. Configurar orígenes de alertas para mostrar alertas en la vista Respond

Document created by RSA Information Design and Development on Apr 30, 2018
Version 1Show Document
  • View in full screen mode
 

Este procedimiento es necesario para que las alertas de los orígenes de alertas se muestren en NetWitness Respond. Tiene la opción de habilitar o deshabilitar las alertas que se completan en la vista Respond. De forma predeterminada, esta opción está deshabilitada en Reporting Engine, Malware Analytics y NetWitness Endpoint, y solo está habilitada en Event Stream Analysis. Por lo tanto, cuando instala el Servicio servidor de Respond, debe habilitar esta opción en Reporting Engine, Malware Analytics y NetWitness Endpoint para completar las alertas correspondientes en la vista Respond.

Requisitos previos

Garantice que:

  • El Servicio servidor de Respond esté instalado y en ejecución en NetWitness Suite.
  • Una base de datos esté configurada para el Servicio servidor de Respond.
  • NetWitness Endpoint esté instalado y en ejecución.

Configurar Reporting Engine para mostrar alertas que activó Reporting Engine en la vista Respond

De forma predeterminada, las alertas de Reporting Engine no se muestran en la vista Respond. Para mostrar y ver las alertas de Reporting Engine, debe habilitar las alertas de NetWitness Respond en la vista Configuración de servicios > pestaña General para Reporting Engine.

  1. Vaya a ADMIN > Servicios, seleccione un servicio Reporting Engine y elija Ícono Acciones > Ver > Configuración.
    La vista Configuración de servicios se muestra con la pestaña General de Reporting Engine abierta.
  2. Seleccione Configuración del sistema.
  3. Seleccione la casilla de verificación Reenviar alertas a Respond.
    Reporting Engine ahora reenvía las alertas a NetWitness Respond.

Para obtener detalles acerca de los parámetros de la pestaña General, consulte el tema “Pestaña General de Reporting Engine” de la Guía de configuración de Reporting Engine.

Configurar Malware Analytics para ver las alertas que activó Malware Analytics en la vista Respond

La visualización de alertas de NetWitness Respond es una función de auditoría en Malware Analysis. El procedimiento para habilitar alertas de NetWitness Respond se describe en el tema “(Opcional) Configurar la auditoría en un host de Malware Analysis” de la Guía de configuración de Malware Analysis.

Configurar NetWitness Endpoint para ver las alertas que activó NetWitness Endpoint en la vista Respond

Este procedimiento se requiere para integrar NetWitness Endpoint con NetWitness Suite de modo que el componente NetWitness Respond de NetWitness Suite recopile las alertas de NetWitness Endpoint y las muestre en la vista RESPOND > Alertas.

Nota: RSA es compatible con NetWitness Endpoint versiones 4.3.0.4, 4.3.0.5 o superior para la integración de NetWitness Respond. Para obtener información detallada, consulte el tema “Integración de RSA NetWitness Suite” en la Guía del usuario de NetWitness Endpoint.

En el siguiente diagrama se representa el flujo de alertas de NetWitness Endpoint al NetWitness Suite Servicio servidor de Respond y su visualización en la vista RESPOND > Alertas.

Diagrama que muestra el flujo de las alertas de NetWitness Endpoint al servicio Respond y su visualización en la vista RESPOND > Alertas

Configurar NetWitness Endpoint para mostrar alertas de NetWitness Endpoint

Para configurar NetWitness Endpoint de manera que muestre alertas de NetWitness Endpoint en la interfaz del usuario de NetWitness Suite:

  1. En la interfaz del usuario de NetWitness Endpoint, haga clic en Configurar > Monitoreo y componentes externos.

    Se muestra el cuadro de diálogo Configuración de componentes externos.
    NetWitness Endpoint: Cuadro de diálogo Configuración de componentes externos

  2. En los componentes enumerados, seleccione Intermediador de mensajes de incidentes y haga clic en + para agregar un nuevo intermediador de IM.
  3. Ingrese los siguientes campos:

    1. Nombre de instancia: Escriba un nombre único para identificar al intermediador de IM.
    2. Nombre de host o dirección IP del servidor: Escriba la dirección IP o el DNS del host del intermediador de IM (Servidor de NetWitness).
    3. Número de puerto: El puerto predeterminado es 5671.
  4. Haga clic en Guardar.
  5. Navegue al archivo ConsoleServer.exe.Config en C:\Program Files\RSA\ECAT\Server.
  6. Modifique las configuraciones del host virtual en el archivo de la siguiente manera:
    <add key="IMVirtualHost" value="/rsa/system" />

  7. Nota: En NetWitness Suite 11.0, el host virtual es “/rsa/system”. En la versión 10.6.x y anteriores, el host virtual es “/rsa/sa”.

  8. Reinicie el servidor de API y de la consola.

  9. Para configurar SSL para las alertas de Respond, realice los siguientes pasos en el servidor de la consola primaria de NetWitness Endpoint con el fin de establecer las comunicaciones de SSL:

    1. Exporte el certificado de CA de NetWitness Endpoint al formato .CER (X.509 con codificación Base 64) desde el almacén de certificados personales de la computadora local (sin seleccionar la clave privada).
    2. Genere un certificado de cliente para NetWitness Endpoint mediante el certificado de CA de NetWitness Endpoint. (DEBE configurar Nombre de CN en ecat).

      makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "NWECA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer

      Nota: En el código de ejemplo anterior, si actualizó a Endpoint versión 4.3 desde una versión anterior y no generó nuevos certificados, debe sustituir “EcatCA” por “NWECA”.

    3. Tome nota de la huella digital del certificado de cliente que se generó en el paso b. Ingrese el valor de la huella digital del certificado de cliente en la sección IMBrokerClientCertificateThumbprint del archivo ConsoleServer.Exe.Config como se muestra.

      <add key="IMBrokerClientCertificateThumbprint" value="896df0efacf0c976d955d5300ba0073383c83abc"/>

  10. En el Servidor de NetWitness, copie el archivo de certificado de CA de NetWitness Endpoint en formato .CER en la carpeta de importación:
    /etc/pki/nw/trust/import

  11. Emita el siguiente comando para iniciar la ejecución de Chef necesaria:
    orchestration-cli-client --update-admin-node
    Esto agrega todos esos certificados al almacén de confianza.

  12. Reinicie el servidor de RabbitMQ:
    systemctl restart rabbitmq-server
    La cuenta de NetWitness Endpoint debe estar disponible en RabbitMQ de forma automática.

  13. Importe los archivos /etc/pki/nw/ca/nwca-cert.pem y /etc/pki/nw/ca/ssca-cert.pem desde Servidor de NetWitness y agréguelos a los almacenes de Certificación raíz de confianza en el servidor de Endpoint.
You are here
Table of Contents > Configuración de NetWitness Respond > Paso 1. Configurar orígenes de alertas para mostrar alertas en NetWitness Respond

Attachments

    Outcomes