Integración de RSA Endpoint

Document created by RSA Information Design and Development on May 2, 2018
Version 1Show Document
  • View in full screen mode
 

Los clientes de RSA que usan RSA NetWitness Endpoint 4.3.0.4, 4.3.0.5 o 4.4 pueden integrar NetWitness Endpoint y RSA NetWitness Suite de varias formas distintas. Esta guía se aplica a RSA NetWitness Suite versión 11.0.

Opciones de integración

Integración de NetWitness Endpoint con NetWitness Suite

Búsqueda de NetWitness Endpoint incorporada

Con la interfaz del usuario de RSA NetWitness Endpoint instalada en la misma máquina donde el analista usa un navegador para acceder a NetWitness Suite, la búsqueda de NetWitness Endpoint incorporada de NetWitness Suite Investigation y NetWitness Suite Respond proporciona acceso con el botón secundario al servidor de la consola de NetWitness Endpoint para las siguientes claves de metadatos: Dirección IP (ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip), host (alias-host, domain.dst), client y file-hash. Esto se describe en el tema “Iniciar una búsqueda externa de una clave de metadatos” en la Guía del usuario de Investigation y Malware Analysis y en el tema “Ver alertas” en la Guía del usuario de NetWitness Respond.

No se requiere la configuración de NetWitness Suite para la búsqueda de terminal cuando usa uno de los analizadores incorporados, NetWitness Endpoint o CEF, y no ha personalizado las claves de metadatos predeterminadas que se usan cuando se cargan los metadatos en Investigation. Para obtener más información, consulte el tema “Administrar y aplicar claves de metadatos predeterminadas en una investigación" en la Guía del usuario de Investigation y Malware Analysis.

Nota: La excepción se produce si personaliza NetWitness Suite mediante la edición de los ajustes de pantalla para las claves de metadatos predeterminadas en Investigation, agrega claves de metadatos al archivo table-map-custom.xml o personaliza los feeds de NetWitness Endpoint. Se requiere cierta configuración para agregar las claves de metadatos personalizadas al menú contextual Consulta de NetWitness Endpoint en la vista ADMIN > Sistema, como se describe en el tema “Agregar acciones de menú contextual personalizadas” de la Guía de configuración del sistema.

Métodos de integración

Con un servidor de consola RSA NetWitness Endpoint 4.3.0.4, 4.3.0.5 o 4.4 instalado en un host de Windows y la configuración adecuada de NetWitness Endpoint y NetWitness Suite que realiza un administrador, son posibles tres integraciones adicionales de datos de análisis de NetWitness Endpoint.

Los siguientes son los métodos de integración de RSA NetWitness Endpoint:

  • Configurar alertas de Endpoint mediante el bus de mensajes
  • Configurar datos contextuales desde Endpoint a través de un feed recurrente
  • Configurar alertas de Endpoint mediante syslog en un Log Decoder

Alertas de Endpoint mediante el bus de mensajes en NetWitness Respond. Esta integración proporciona la capacidad para el reenvío de alertas de Endpoint a Respond a través del bus de mensajes.

Datos contextuales desde Endpoint a través de un feed recurrente de NetWitness Suite Live. Esta integración puede enriquecer con información contextual la sesión que se muestra en NetWitness Suite Investigation; algunos ejemplos incluyen el sistema operativo del host, la dirección MAC, el puntaje de IIOC y otros datos que tal vez no estén presentes en los datos de registros o de paquetes.

Alertas de NetWitness Endpoint mediante syslog (CEF) en Log Decoders de NetWitness Suite. Esta integración proporciona la capacidad de reenviar eventos de Endpoint a través de Syslog y correlacionar los eventos con otros metadatos de registros o paquetes en el ecosistema de NetWitness Suite.

Integración de metadatos de NetWitness Endpoint

La integración de metadatos de NetWitness Endpoint con RSA NetWitness Suite ofrece a los clientes que tienen ambos productos una manera de aprovechar los productos en una sola interfaz del usuario con mayor facilidad. En el siguiente diagrama se ilustra la forma en que NetWitness Endpoint se integra con NetWitness Suite. Los metadatos de NetWitness Endpoint se recopilan y publican desde todas las máquinas donde se implementan agentes de NetWitness Endpoint y, a continuación, se envían al Log Decoder de NetWitness Suite.

Los metadatos se pueden ver en el NetWitness Suite Concentrator asociado y también en NetWitness Suite Investigate.

Integración de metadatos de NetWitness Endpoint

Alertas e indicadores de riesgo de NetWitness Endpoint

Un IIOC (Indicador de riesgo instantáneo) de NetWitness Endpoint es una consulta de base de datos que NetWitness Endpoint ejecuta en los datos de escaneo de NetWitness Endpoint recopilados para determinar la presencia de malware potencial en hosts escaneados. RSA NetWitness Endpoint 4.1.2 o superior viene con IOC que el usuario puede habilitar y marcar con la capacidad de generar alertas. RSA NetWitness Endpoint ejecuta consultas de IOC de forma periódica sobre nuevos datos de escaneo, que se recopilan y almacenan en la base de datos. Si se satisface la consulta de IOC, esto indica un posible indicador de riesgo, y el evento se puede informar a un usuario o se puede enviar a un sistema externo como una alerta.

Los posibles tipos de alertas son:

  • Alerta de máquina: Esta alerta indica que la máquina en cuestión es sospechosa.
  • Alerta de módulo: Esta alerta indica que un módulo, como un archivo, un archivo DLL o un archivo ejecutable, es sospechoso. Contiene detalles sobre el módulo en cuestión.
  • Alerta de evento: Esta alerta representa cualquier otra actividad sospechosa que detecta NetWitness Endpoint que no entra en las categorías anteriores.

Cada uno de estos tipos de alerta se puede enviar a NetWitness Suite.

You are here
Table of Contents > Integración de RSA Endpoint

Attachments

    Outcomes