Configurar datos contextuales desde Endpoint a través de un feed recurrente

Document created by RSA Information Design and Development on May 2, 2018
Version 1Show Document
  • View in full screen mode
 

Puede configurar datos de RSA NetWitness Endpoint en RSA NetWitness Suite para proporcionar datos contextuales desde NetWitness Endpoint a sesiones de Decoder y Log Decoder. Esta configuración agrega valores de metadatos contextuales además de alertas de IOC instantáneos que se pueden usar para crear correlaciones con otros metadatos en el ecosistema de NetWitness Suite.

Los administradores pueden configurar NetWitness Suite para consumir datos contextuales de escaneos del sistema desde NetWitness Endpoint a través de un feed recurrente de NetWitness Suite Live. Esta integración puede enriquecer la sesión desde Decoder o Log Decoder con información contextual que se muestra en NetWitness Suite Investigation; algunos ejemplos incluyen el sistema operativo del host, la dirección MAC, el puntaje de IIOC y otros datos que tal vez no estén presentes en los datos de registros o de paquetes de sesiones que provienen de un Decoder o un Log Decoder.

Nota: Aunque esta función está destinada a clientes con un Packet Decoder, también es posible implementar un feed recurrente en Log Decoders.

Precaución: En ambientes con muchos hosts de NetWitness Endpoint, el uso de este feed recurrente puede dar lugar a un menor rendimiento en los dispositivos de recopilación de NetWitness Suite (Decoder y Log Decoder).

Requisitos previos

  • Servidor de NetWitness Endpoint Console versión 4.3.0.4, 4.3.0.5 o 4.4 y Servidor de NetWitness versión 10.4 y superior instalados.
  • RSA Decoder y Concentrator versión 11.0 conectados al Servidor de NetWitness en la red.

Para configurar datos contextuales desde NetWitness Endpoint a través de un feed recurrente, realice lo siguiente:

  1. Habilite el feed de NetWitness Endpoint para NetWitness Suite en la interfaz del usuario de NetWitness Endpoint.
  2. Exporte el certificado de CA de NetWitness Endpoint desde el servidor de NetWitness Endpoint Console e impórtelo en el almacén de confianza de NetWitness Suite.
  3. Configure el servicio NetWitness Suite Concentrator para definir las claves de metadatos que se indexan.
  4. Cree un feed recurrente en NetWitness Suite Live.

Habilitar el feed de NetWitness Endpoint para NetWitness Suite

  1. En la interfaz del usuario de NetWitness Endpoint, cree el usuario SQL en NetWitness Endpoint:
    1. Abra la interfaz del usuario de NetWitness Endpoint e inicie sesión con las credenciales apropiadas.
    2. En la barra de menú, seleccione Configurar > Administrar usuarios y funciones, haga clic con el botón secundario en el panel y seleccione crear usuario de sql.
      Se muestra el cuadro de diálogo Crear un nuevo usuario de SQL.
      Create a new SQL server dialog
    3. Ingrese el Nombre de inicio de sesión y la Contraseña, y haga clic en Crear.
  2. En la barra de menú, seleccione Configurar > Monitoreo de componentes externos.
    Aparece el cuadro de diálogo Configuración de componentes externos. External Components Configuration dialog

  3. En NetWitness Suite, haga clic en +.
    Se muestra el cuadro de diálogo NetWitness Suite.
    NetWitness Suite Dialog
  4. En el panel NetWitness Suite, en Activado, ingrese el nombre para identificar el componente NetWitness Suite.
  5. En el panel Conexión de NetWitness Suite, realice lo siguiente.
    1. En el campo Nombre de host/IP de servidor, ingrese la dirección IP o el nombre de host del Servidor de NetWitness.
    2. Ingrese el número de puerto en el campo Puerto. El número de puerto predeterminado es 443.
  6. En el panel Configurar NetWitness Suite, realice lo siguiente:
    1. En el campo Zona horaria de los servidores, seleccione la zona horaria para el componente en la lista desplegable.
    2. En el campo Identificador del dispositivo, ingrese el ID del dispositivo de NetWitness Suite Concentrator.
  7. Nota: Puede encontrar el identificador del dispositivo en NetWitness Suite cuando busca un Concentrator o un Broker en Investigation > Navegar ><Nombre de Broker o Concentrator>. El identificador del dispositivo es el número en la URL después de “investigation”. Por ejemplo, en la URL https://<IP address>investigation/319/navigate/values, el identificador del dispositivo es 319.

El campo URI se completa cuando hace clic en Guardar.

  1. En el panel Optimización de consulta, en el campo No realizar una consulta anterior a, ingrese la cantidad de días para limitar el período de consulta. Ingrese 0 si desea descartar esta función.
  2. En el panel Rango de tiempo de consulta, realice lo siguiente:
    1. En el campo Mínimo, ingrese la cantidad de minutos para el rango de tiempo de consulta mínimo. Este valor se usa para aumentar automáticamente el rango de tiempo que se envía a NetWitness Suite. Esto garantiza que una consulta devuelva una respuesta positiva si el tiempo informado del agente de NetWitness Endpoint es levemente diferente al tiempo de NetWitness Endpoint.

    2. En el campo Máximo, ingrese la cantidad de minutos para limitar el rango de tiempo. Este valor se usa para limitar automáticamente el rango de tiempo enviado a NetWitness Suite, de modo que una consulta no sobrecargue el Servidor de NetWitness.
  3. En el panel Configurar feeds de RSA NetWitness Endpoint para NetWitness Suite, realice lo siguiente:
    1. Seleccione Habilitar feed de RSA NetWitness Endpoint.
    2. En el campo URL, ingrese el Nombre de usuario y la Contraseña de SQL (configurados en el paso 1) para acceder a la ubicación del feed.
      El campo URL se completa cuando hace clic en Guardar.
    3. Ingrese el intervalo de tiempo para la frecuencia con la que se publican los feeds.
  4. En el panel Intervalo de publicación de feed, en el campo Intervalo de tiempo, seleccione el intervalo de tiempo en horas y minutos para la frecuencia en que se publican los feeds.
  5. En el panel Permitir el acceso a URL al usuario siguiente, ingrese el Nombre de usuario y la Contraseña del usuario de NetWitness Endpoint.
  6. Haga clic en Guardar.
    Se crea un feed.

Exportar el certificado SSL de NetWitness Endpoint

Nota: Este procedimiento funciona solo con NetWitness Suite 10.5 y superior debido a que se agregó compatibilidad con Java 8 para 10.5. Si está usando una versión anterior de NetWitness Suite, consulte la versión correspondiente de esta guía.

Para exportar el certificado de CA de NetWitness Endpoint desde el servidor de NetWitness Endpoint Console y copiarlo al host de NetWitness Suite:

  1. Inicie sesión en NetWitness Endpoint Console.
  2. Abra MMC.
  3. Agregue un snap-in de certificado para la cuenta Computer.
  4. Exporte el certificado con el nombre EcatCA.
    1. Expórtelo sin una clave privada.
    2. Expórtelo en formato de codificación DER binario X.509 (.CER).
    3. Asígnele el nombre EcatCA.cer.
  5. Copie el certificado de CA de NetWitness Endpoint al host de NetWitness Suite:
    • Para una instalación nueva de NetWitness Endpoint 4.3.0.4, 4.3.0.5 o 4.4:
      scp NweCA.cer root@<sa-machine>:.
    • Para NetWitness Endpoint actualizado de una versión anterior a 4.3.0.4 o 4.3.0.5:
      scp EcatCA.cer root@<sa-machine>:.
  1. Para importar el certificado de CA de NetWitness Endpoint al almacén de confianza de NetWitness Suite, realice lo siguiente:
    1. Compruebe la versión de Java instalada en NetWitness Suite mediante el siguiente comando:
      java -version
      Se muestra la versión openjdk. Por ejemplo, la versión openjdk “1.8.0_71

    2. Para configurar el parámetro JDK, navegue al directorio de Java. Ingrese los siguientes comandos:
    • JDK=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.141-1.b16.el7_3.x86_64/jre/

    • Para una instalación nueva de NetWitness Endpoint:

      $JDK/bin/keytool -import -v -trustcacerts -alias nweca -file ~/NweCA.cer -keystore $JDK/lib/security/cacerts -storepass changeit

    • Para NetWitness Endpoint actualizado de una versión anterior:

      $JDK/bin/keytool -import -v -trustcacerts -alias ecatca -file ~/EcatCA.cer -keystore $JDK/lib/security/cacerts -storepass changeit

    Cuando se le solicite confirmar la actualización del certificado, ingrese .

  2. En el host de NetWitness Suite, realice una de las siguientes acciones:
    • Para una instalación nueva de NetWitness Endpoint 4.3.0.4, 4.3.0.5 o 4.4, edite/etc/hosts para mapear la dirección IP del servidor de NetWitness Endpoint Console al nombre NweServerCertificate mediante la adición de la siguiente línea al archivo:

      <ip-address-ecat-cs> NweServerCertificate

    • Para NetWitness Endpoint actualizado de una versión anterior a 4.3.0.4 o 4.3.0.5, edite /etc/hosts para mapear la dirección IP del servidor de NetWitness Endpoint Console actualizado al nombre ecatserverexported mediante la adición de la siguiente línea al archivo:

      <ip-address-ecat-cs> ecatserverexported

  3. Para reiniciar NetWitness Suite, ingrese el siguiente comando:

    service jetty restart

Configurar el servicio NetWitness Suite Concentrator

  1. Inicie sesión en NetWitness Suite y vaya a ADMIN > Servicios.
  2. Seleccione un Concentrator en la lista y, a continuación, elija Ver > Configuración.
  3. Seleccione la pestaña Archivos y, en el menú desplegable Archivos para editar, seleccione index-concentrator-custom.xml.
  4. Agregue las siguientes claves de metadatos de NetWitness Endpoint al archivo y haga clic en Aplicar. Asegúrese de que este archivo incluya las secciones XML; si las líneas no se incluyen, agréguelas. Las siguientes líneas son ejemplos; asegúrese de que los valores coincidan con su configuración y con los nombres de columna que incluyó en la definición del feed, donde:
    description es el nombre de la clave de metadatos que desea mostrar en NetWitness Suite Investigation.
    level es “IndexValues”
    name coincide con el nombre de columna del archivo CSV que NetWitness Suite usa durante la definición del feed recurrente (consulte la tabla en Configurar la tarea del feed personalizado recurrente en NetWitness Suite, a continuación).

    <key description="Gateway" format="Text" level="IndexValues" name="gateway" valueMax="250000" defaultAction="Open"/>

    <key description="Risk Number" format="Float64" level="IndexValues" name="risk.num" valueMax="250000" defaultAction="Open"/>

    <key description="Strans Addr" format="Text" level="IndexValues" name="stransaddr" valueMax="250000" defaultAction="Open"/>

    <key description="Domain" format="Text" level="IndexValues" name="domain" valueMax="250000" defaultAction="Open"/>

    <key description="User Account" format="Text" level="IndexValues" name="username" valueMax="250000" defaultAction="Open"/>

    <key description="Ecat Connectiontime" format="Text" level="IndexValues" name="ecat.ctime" valueMax="250000" defaultAction="Open"/>

    <key description="Ecat Scantime" format="Text" level="IndexValues" name="ecat.stime" valueMax="250000" defaultAction="Open"/>

  5. Reinicie el Concentrator para activar las actualizaciones de claves personalizadas.

Configurar la tarea del feed personalizado recurrente en NetWitness Suite

  1. Inicie sesión en NetWitness Suite y vaya a CONFIGURAR > Feeds personalizados.
    Se muestra la vista Feeds.
  2. En la barra de herramientas, haga clic en Add Icon.
    Se muestra el cuadro de diálogo Configurar feed.
  3. En el cuadro de diálogo Configurar feed, seleccione Feed personalizado y haga clic en Siguiente.
    El asistente Configurar un feed personalizado se muestra con el formulario Definir feed abierto.
  4. En el campo Definir feed, realice lo siguiente:
    • Seleccione Recurrente en el campo Tipo de tarea de feed.
    • En el campo Nombre, ingrese el nombre del feed. Por ejemplo, EndpointFeed.
    • En el campo URL, ingrese la dirección URL con el nombre de host del servidor de Windows donde está instalado NetWitness Endpoint:
    1. Active la casilla de verificación Autenticado e ingrese el nombre de usuario y la contraseña que anotó anteriormente en Activar el feed de ECAT.
    1. Haga clic en Verificar para comprobar que NetWitness Suite pueda acceder al recurso web.
    1. Defina el programa y haga clic en Siguiente.Define Feed
  5. En la pestaña Seleccionar servicios, seleccione el Decoder o grupos para consumir el feed. Haga clic en Siguiente.
  6. En la pestaña Definir columnas, ingrese los nombres de columna como aparecen en la tabla siguiente y guarde el feed.Define Columns

En la siguiente tabla se muestran las columnas del archivo CSV para el feed de NetWitness Endpoint.

                                                                                   
ColumnaNombreDescripciónNombre de la columna en NetWitness Suite (nombre de clave de metadatos)
1MachineNameNombre de host del agente de Windowsalias.host
2LocalIpDirección IPv4Tipo de IP (columna indexada)
3RemoteIpDirección IP del extremo lejano como la ve el enrutadorstransaddr
4GatewayIpDirección IP del gatewaygateway
5MacAddressDirección MACeth.src
6OperatingSystemSistema operativo que usa el agente de WindowsSO
7AgentIDID del agente del host (ID único asignado al agente)cliente
8ConnectionUTCTimeÚltima vez que el agente se conectó al servidor de NetWitness Endpointecat.ctime
9Source DomainDominiodomain.src
10ScanUTC timeÚltima vez que se escaneó el agenteecat.stime

11

Nombre de usuario

Nombre de usuario de la máquina cliente

username

12Puntaje de la máquinaPuntaje del agente que indica el nivel sospechosorisk.num

Nota: En la tabla, la configuración recomendada del índice es LocalIp. Sin embargo, si un servidor DHCP asigna el LocalIp para la computadora de agente de NetWitness Endpoint y el arrendamiento de DHCP venció, y si la dirección IP se reasigna a otra computadora, los metadatos que creó el feed estarán incorrectos. Para evitar este riesgo, use el nombre de la máquina o la dirección Mac en lugar de la dirección localIP como índice del feed. Por ejemplo, para usar una dirección Mac, podría ingresar los valores que se muestran en la siguiente figura.

Mac address for the endpoint feed

Resultado

Cuando se ven los datos del feed en NetWitness Suite y tras una coincidencia del valor indexado (ip.src), se completan los metadatos en las interfaces de Investigation, Reporting y Alerting.

You are here
Table of Contents > Configurar datos contextuales desde Endpoint a través de un feed recurrente

Attachments

    Outcomes