ESA-Konfiguration: Konfiguration des Whois-Abfrageservice

Document created by RSA Information Design and Development on May 10, 2018
Version 1Show Document
  • View in full screen mode
 

Im Bereich „Whois-Abfragekonfiguration“ (ADMIN > System > Whois) konfigurieren Sie eine Verbindung zum Whois-Abfrageservice für Ihre vorkonfigurierten ESA Analytics-Module, die bei der automatisierten Bedrohungserkennung von RSA verwendet werden. Mit dem Service „Whois“ können Sie präzise Daten über Domains erhalten, mit denen Sie sich verbinden. Um eine effektive Bewertung zu ermöglichen, ist es wichtig, dass Sie die Whois-Serviceeinstellungen konfigurieren.

Zur Nutzung dieses Service benötigen Sie ein RSA Live-Konto.

Wenn Sie ein Live-Konto im Bereich „Live-Services“ konfiguriert haben (ADMIN > System > Live-Services), wird der Whois-Abfrageservice automatisch für Sie konfiguriert. Sie müssen nur die Verbindung des Whois-Abfrageservice überprüfen.

Hinweis: Wenn Sie kein RSA Live-Konto besitzen, können Sie eines im RSA Live-Registrierungsportal erstellen:
https://cms.netwitness.com/registration/
Im Handbuch Live Services Management finden Sie zusätzliche Informationen.

Was möchten Sie tun?

                       
Rolle ZielDetails anzeigen
Administrator

Den Whois-Abfrageservice konfigurieren.

Konfigurieren des Whois-Abfrageservice

Administrator

Die Verbindung des Whois-Abfrageservice überprüfen.

Konfigurieren des Whois-Abfrageservice

Verwandte Themen

Konfiguration des Whois-Abfrageservice

Um auf die Konfiguration des Whois-Abfrageservice zuzugreifen, gehen Sie zu „ADMIN > System“ und wählen Sie im Bereich „Optionen“ die Option „Whois“.

Der ESA Analytics-Server-Service muss in der Ansicht „ADMIN > Services“ verfügbar sein (ein grüner Kreis wird angezeigt). Wenn kein ESA Analytics-Server-Service verfügbar ist, wird der folgende Bereich angezeigt.

Bereich „Whois-Abfrageservice“ ohne verfügbaren ESA Analytics-Service

Wenn ein ESA Analytics-Server-Service verfügbar ist, wird der folgende Bereich angezeigt.

Bereich „Konfiguration des Whois-Abfrageservice“

In der folgenden Tabelle werden die aufgeführten Whois-Abfrageservice-Konfigurationseinstellungen beschrieben.

                                                 
ParameterBeschreibung
Live-Benutzername

Nur erforderlich, wenn Sie nicht bereits den Whois-Abfrageservice konfiguriert haben.  Geben Sie die Anmeldeinformationen für die Authentifizierung für den RSA Whois-Server ein. Diese sind identisch mit Ihrer RSA Live-Benutzer-ID. Wenn Sie noch kein RSA Live-Konto konfiguriert haben, müssen Sie dies jetzt tun. 

Der Standardwert ist „whois“.

Live-Passwort

Nur erforderlich, wenn Sie bereits den Whois-Abfrageservice konfiguriert haben. Geben Sie die Anmeldeinformationen für die Authentifizierung für den RSA Whois-Server ein. Diese sind identisch mit Ihrem RSA Live-Passwort. Wenn Sie noch kein RSA Live-Konto konfiguriert haben, müssen Sie dies jetzt tun. 

Der Standardwert ist null.

Zulässige Anforderungen

(Optional) Geben Sie die Anzahl der zulässigen Anfragen ein, bevor Sie damit beginnen, den Whois-Service zu drosseln. Dieser Parameter funktioniert mit Intervall für zulässige Anforderungen (in Sekunden), wo Sie das Intervall für Abfragen festlegen können. Beispiel: Wenn Sie Zulässige Anforderungen auf 100 und Intervall für zulässige Anforderungen auf 60 festlegen, können Sie 100 Anforderungen in jedem 60-Sekunden-Intervall starten.

Der Standardwert ist 100.

Intervall für zulässige Anforderungen

(Optional) Wenn Sie den Parameter Zulässige Anforderungen festlegen, müssen Sie auch diese Einstellung konfigurieren, um das Intervall festzulegen. Dieser Wert sollte für IhreUmgebung optimiert werden.

Die Standardeinstellung beträgt 60 Sekunden.

Max. Größe Warteschlange

(Optional) Geben Sie die maximale Größe der Warteschlange der Domains an, deren Informationen von dem RSA Whois-Service angefordert werden.

Die Standardeinstellung ist 100.000.

Max. Cachegröße

(Optional) Geben Sie die maximale Anzahl der zwischengespeicherten Whois-Einträge an. Sobald diese Grenze erreicht ist, wird der am längsten nicht verwendete Eintrag entfernt, um Platz für einen neuen Eintrag freizugeben.

Die Standardeinstellung ist 50.000.

Aktualisierungsintervall in Tagen

(Optional) Geben Sie die Anzahl der Tage für das Aktualisierungsintervall an. Wenn die angeforderte Whois-Information im Cache gefunden wird und der Cacheeintrag älter ist als die angegebene Anzahl Sekunden, wird der Eintrag aus dem Cache entfernt und die Domain an die Warteschlange zurückgegeben, um abgefragt zu werden. (Der Cache-Eintrag wird für die Anforderung zurückgegeben, die ihn als veraltet gekennzeichnet hat.)

Die Standardeinstellung beträgt 30 Tage.

Warten auf HTTP-Anforderung

(Optional) Erfordert, dass der ESA-Service wartet, bis der Whois-Service antwortet, bevor die Ausführung des Moduls abgeschlossen werden kann. Dadurch wird sichergestellt, dass die Whois-Daten immer in den Suchergebnissen enthalten sind, aber die Performance kann beeinträchtigt werden, da ESA bis zu 30 Sekunden auf die Antwort des Whois-Service wartet.

Wenn Sie diese Einstellung nicht konfigurieren und die Antwortzeit langsam ist, schließt ESA die Analyse für ein gegebenes Ereignis ohne die Whois-Daten ab und berechnet die Bewertung ohne die Daten.

Die Standardeinstellung ist true

Abfrage-URL

(Optional) Geben Sie die URL ein, um Whois-Daten von dem RSA Whois-Service zu erhalten. Der nachgestellte Schrägstrich („/“) ist erforderlich. Andernfalls werden Anfragen fehlschlagen.

Der Standardwert ist: https://cms.netwitness.com/whois/v2/query/

Authentifizierungs-URL

(Optional) Geben Sie die URL ein, um Authentifizierungstoken von dem RSA Whois-Service zu erhalten.

Der Standardwert ist: https://cms.netwitness.com/authlive/authenticate/WHOIS

You are here
Table of Contents > Referenzen > Konfiguration des Whois-Abfrageservice

Attachments

    Outcomes