Die Funktionen zur automatisierten Bedrohungserkennung von RSA NetWitness Suite ermöglichen es Ihnen, Datenquellen automatisch zu analysieren, indem Sie vorkonfigurierte ESA Analytics-Module verwenden. Ein ESA Analytics-Modul ist eine Pipeline aus Aktivitätsobjekten, die ein Ereignis durch mathematische Berechnungen um zusätzliche Informationen ergänzen. ESA Analytics-Services verarbeiten diese Module, um Advanced Threats zu ermitteln.
Die Konfiguration des Whois-Abfrageservice ist für Suspicious Domains-Module erforderlich.
Hinweis: (Wichtig) RSA empfiehlt dringend die Konfiguration des Whois-Abfrageservice für mehr Genauigkeit bei der Bewertung der automatisierten Bedrohungserkennung.
Voraussetzungen
- Zur Nutzung des Whois-Abfrageservice benötigen Sie ein RSA Live-Konto.
- Der ESA Analytics-Server-Service muss in der Ansicht „ADMIN > Services“ verfügbar sein (ein grüner Kreis wird angezeigt).
Wenn Sie ein Live-Konto im Bereich „Live-Services“ konfiguriert haben (ADMIN > System > Live-Services), wird der Whois-Abfrageservice automatisch für Sie konfiguriert. Sie müssen nur die Verbindung des Whois-Abfrageservice überprüfen.
Hinweis: Wenn Sie kein RSA Live-Konto besitzen, können Sie eines im RSA Live-Registrierungsportal erstellen:
https://cms.netwitness.com/registration/
Im Handbuch Live Services Management finden Sie zusätzliche Informationen.
Konfigurieren des Whois-Abfrageservice
- Navigieren Sie zu ADMIN > System.
- Wählen Sie im Bereich „Optionen“ Whois aus.
- Überprüfen Sie im Bereich Konfiguration des Whois-Abfrageservice, ob der Whois-Abfrageservice verbunden ist. Am unteren Rand des Bereichs wird ein verbundener Service durch einen grünen Kreis neben Verbunden angezeigt:
Wenn er verbunden ist, können Sie die Konfiguration als abgeschlossen betrachten und die restlichen Schritte überspringen. Um die erweiterten Einstellungen anzupassen, fahren Sie mit Schritt 5 fort.
Wenn der Service nicht verbunden ist, fahren Sie mit Schritt 4 fort. - Geben Sie in den Feldern Live-Benutzername und Live-Passwort die Anmeldedaten Ihres RSA Live-Kontos ein, um auf den RSA Whois-Server zuzugreifen.
- Falls erforderlich, können Sie die erweiterten Einstellungen anpassen. RSA empfiehlt jedoch, dass Sie die Standardwerte verwenden. Unter Konfiguration des Whois-Abfrageservice finden Sie weitere Details.
- Klicken Sie auf Verbindung testen, um die Verbindung zu testen.
Eine erfolgreiche Verbindung wird durch grünen Kreis neben Verbunden angezeigt: - Klicken Sie auf Anwenden, um die Änderungen zu speichern.