Configurar alertas de Endpoint mediante el bus de mensajes

Document created by RSA Information Design and Development on May 2, 2018
Version 1Show Document
  • View in full screen mode
 

Este procedimiento se requiere para integrar NetWitness Endpoint con NetWitness Suite de modo que las alertas de NetWitness Endpoint se recopilen con el componente Respond de NetWitness Suite y se muestren en la vista RESPOND > Alertas.

Nota: RSA admite las versiones 4.3.0.4, 4.3.0.5 o 4.4 de NetWitness Endpoint para la integración de NetWitness Respond. Para obtener más información, consulte el tema “Integración de RSA NetWitness Suite” en la Guía del usuario de NetWitness Endpoint.

En el siguiente diagrama se representa el flujo de alertas de NetWitness Endpoint en la vista Lista de incidentes de Respond de NetWitness Suite y su visualización en la vista RESPOND > Alertas.

Alertas de Endpoint mediante el bus de mensajes

Requisitos previos

Asegúrese de disponer de lo siguiente:

  • El servicio Respond está instalado y en ejecución en NetWitness Suite 11.0.
  • NetWitness Endpoint 4.3.0.4, 4.3.0.5 o 4.4 está instalado y en ejecución.

Configurar NetWitness Endpoint para reenviar alertas de NetWitness Endpoint

Para configurar NetWitness Endpoint para enviar alertas a través del bus de mensajes a la interfaz del usuario de NetWitness Suite:

  1. En la interfaz del usuario de NetWitness Endpoint, haga clic en Configurar > Monitoreo y componentes externos.

    Se muestra el cuadro de diálogo Configuración de componentes externos.
    NetWitness Endpoint: Cuadro de diálogo Configuración de componentes externos

    1. En los componentes enumerados, seleccione Intermediador de mensajes de incidentes y haga clic en + para agregar un nuevo intermediador de IM.
  2. Ingrese los siguientes campos:

    1. Nombre de instancia: Escriba un nombre único para identificar al intermediador de IM.
    2. Nombre de host o dirección IP del servidor: Escriba la dirección IP o el DNS del host del intermediador de IM (Servidor de NetWitness).
    3. Número de puerto: El puerto predeterminado es 5671.
  3. Haga clic en Guardar.
  4. Navegue al archivo ConsoleServer.exe.config en C:\Program Files\RSA\ECAT\Server.
  5. Modifique las configuraciones del host virtual en el archivo de la siguiente manera:
    <add key="IMVirtualHost" value="/rsa/system" />

  6. Nota: En NetWitness Suite 11.0, el host virtual es “/rsa/system”. En la versión 10.6.x y anteriores, el host virtual es “/rsa/sa”.

  7. Reinicie el servidor de API y de la consola.

  8. Para configurar SSL para las alertas de Respond, realice los siguientes pasos en el servidor de la consola primaria de NetWitness Endpoint con el fin de establecer las comunicaciones de SSL:

    1. Exporte el certificado de CA de NetWitness Endpoint al formato .CER (X.509 con codificación Base 64) desde el almacén de certificados personales de la computadora local (sin seleccionar la clave privada).
    2. Genere un certificado de cliente para NetWitness Endpoint mediante el certificado de CA de NetWitness Endpoint. (DEBE configurar nombre de CN en ecat).

      makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "NweCA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer

      Nota: En el código de ejemplo anterior, si actualizó a Endpoint versión 4.3 desde una versión anterior y no generó nuevos certificados, debe sustituir “EcatCA” por “NweCA”.

    3. Tome nota de la huella digital del certificado de cliente que se generó en el paso b. Ingrese el valor de la huella digital del certificado de cliente en la sección IMBrokerClientCertificateThumbprint del archivo ConsoleServer.Exe.Config como se muestra.

      <add key="IMBrokerClientCertificateThumbprint" value="896df0efacf0c976d955d5300ba0073383c83abc"/>

  9. En el Servidor de NetWitness, copie el archivo de certificado de CA de NetWitness Endpoint en formato .CER en la carpeta de importación:
    /etc/pki/nw/trust/import

  10. Emita el siguiente comando para iniciar la ejecución de Chef necesaria:
    orchestration-cli-client --update-admin-node
    Esto agrega todos esos certificados al almacén de confianza.

  11. Reinicie el servidor de RabbitMQ:
    systemctl restart rabbitmq-server
    La cuenta de NetWitness Endpoint debe estar disponible en RabbitMQ de forma automática.

  12. Importe los archivos /etc/pki/nw/ca/nwca-cert.pem y /etc/pki/nw/ca/ssca-cert.pem desde el Servidor de NetWitness y agréguelos a las áreas de almacenamiento de certificados raíz de confianza en el servidor de Endpoint.

Solución de problemas

En esta sección se sugiere la forma de resolver los problemas que puede encontrar al configurar alertas de NetWitness Endpoint mediante el bus de mensajes.

             
Problemas conocidosSoluciones
Se produce un error de coordinación en el nodo de administración.Debe copiar y pegar el contenido del certificado de EcatCA en /etc/rabbitmq/ssl/truststore.pem y reiniciar el servicio Rabbitmq.
You are here
Table of Contents > Configurar alertas de Endpoint mediante el bus de mensajes

Attachments

    Outcomes