Konfigurieren von Endpoint-Warnmeldungen über Nachrichtenbus

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

Dieses Verfahren ist für die Integration von NetWitness Endpoint in NetWitness Suite erforderlich, damit die NetWitness Endpoint-Warnmeldungen von der Respond-Komponente von NetWitness Suite erkannt und in der Ansicht Reagieren > Warnmeldungen angezeigt werden.

Hinweis: RSA unterstützt NetWitness Endpoint Versionen 4.3.0.4, 4.3.0.5 oder 4.4 für NetWitness Respond-Integration. Weitere Informationen finden Sie im Thema „RSA NetWitness Suite-Integration“ im NetWitness Endpoint-Benutzerhandbuch.

Das Diagramm unten stellt den Fluss von NetWitness Endpoint-Warnmeldungen zur Respond Incident-Listenansicht von NetWitness Suite und seine Anzeige in der Ansicht Reagieren > Warnmeldungen dar.

Endpoint-Warnmeldungen über Nachrichtenbus

Voraussetzungen

Überprüfen Sie, ob die folgenden Voraussetzungen erfüllt sind:

  • Der Respond-Service ist auf NetWitness Suite 11.0 installiert und wird ausgeführt.
  • NetWitness Endpoint 4.3.0.4, 4.3.0.5 oder 4.4 ist installiert und wird ausgeführt.

Konfigurieren von NetWitness Endpoint für die Weiterleitung von NetWitness Endpoint-Warnmeldungen

Gehen Sie wie folgt vor, um NetWitness Endpoint so zu konfigurieren, dass es Warnmeldungen über den Nachrichtenbus an die NetWitness Suite-Benutzeroberfläche sendet:

  1. Klicken Sie in der NetWitness Endpoint-Benutzeroberfläche auf Konfigurieren > Überwachung und externe Komponenten.

    Das Dialogfeld Konfiguration externer Komponenten wird angezeigt.
    NetWitness Endpoint: Dialogfeld „Konfiguration externer Komponenten“

    1. Wählen Sie bei den aufgeführten Komponenten Incident Message Broker aus und klicken Sie auf +, um einen neuen IM-Broker hinzuzufügen.
  2. Geben Sie Werte für die folgenden Felder ein:

    1. Instanzenname: Geben Sie einen eindeutigen Namen zur Identifizierung des IM-Brokers ein.
    2. Hostname/IP-Adresse des Servers: Geben Sie die Host-DNS- oder die IP-Adresse des IM-Brokers ein (NetWitness-Server).
    3. Portnummer: Der Standardport ist 5671.
  3. Klicken auf Sie auf Speichern.
  4. Navigieren Sie zur Datei ConsoleServer.exe.config in C:\Programme\RSA\ECAT\Server.
  5. Ändern Sie die virtuellen Host-Konfigurationen in der Datei wie folgt:
    <add key="IMVirtualHost" value="/rsa/system" />

  6. Hinweis: In NetWitness Suite11.0 lautet der virtuelle Host „/rsa/system“. In Version 10.6.x und niedriger lautet der virtuelle Host „/rsa/sa“.

  7. Starten Sie den API-Server und Konsolenserver neu.

  8. Um SSL für Respond-Warnmeldungen einzurichten, führen Sie folgende Schritte auf dem primären Konsolenserver von NetWitness Endpoint aus, um die SSL-Kommunikation einzurichten:

    1. Exportieren Sie das NetWitness Endpoint CA-Zertifikat im CER-Format (Base-64 encoded X.509) aus dem persönlichen Zertifikatspeicher des lokalen Computers (ohne den privaten Schlüssel auszuwählen).
    2. Erzeugen Sie ein Clientzertifikat für NetWitness Endpoint mithilfe des NetWitness Endpoint CA-Zertifikats. (Sie MÜSSEN den CN-Namen auf ecat einstellen).

      makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "NweCA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer

      Hinweis: Im oben genannten Codebeispiel sollten Sie „EcatCA“ durch „NweCA“ ersetzen, wenn Sie von einer früheren Version ein Upgrade auf Version 4.3 durchgeführt haben und keine neuen Zertifikate erzeugt haben.

    3. Notieren Sie sich den Thumbprint des in Schritt b generierten Clientzertifikats. Geben Sie den Thumbprint-Wert des Clientzertifikats im Abschnitt IMBrokerClientCertificateThumbprint der ConsoleServer.Exe.Config-Datei ein (siehe Abbildung).

      <add key="IMBrokerClientCertificateThumbprint" value="896df0efacf0c976d955d5300ba0073383c83abc"/>

  9. Kopieren Sie auf dem NetWitness-Server die NetWitness Endpoint CA-Zertifikatdatei im CER-Format in den Importordner:
    /etc/pki/nw/trust/import

  10. Geben Sie den folgenden Befehl aus, um die erforderliche Chef-Ausführung zu initiieren:
    orchestration-cli-client --update-admin-node
    Dadurch werden alle Zertifikate an den Truststore angehängt.

  11. Starten Sie den RabbitMQ-Server neu:
    systemctl restart rabbitmq-server
    Das NetWitness Endpoint-Konto sollte auf RabbitMQ automatisch verfügbar sein.

  12. Importieren Sie die /etc/pki/nw/ca/nwca-cert.pem- und /etc/pki/nw/ca/ssca-cert.pem-Dateien vom NetWitness-Server und fügen Sie sie den Trusted Root Certification-Speichern auf dem Endpoint-Server hinzu.

Fehlerbehebung

Dieser Abschnitt enthält Lösungsvorschläge für Probleme, die auftreten können, wenn Sie NetWitness Endpoint-Warnmeldungen über Nachrichtenbus konfigurieren.

             
Bekannte ProblemeLösungen
Orchestrierung schlägt auf dem Administrations-Node fehl.Sie müssen den Inhalt des EcatCA-Zertifikats in /etc/rabbitmq/ssl/truststore.pem kopieren und einfügen und den Rabbitmq-Service neu starten.
You are here
Table of Contents > Konfigurieren von Endpoint-Warnmeldungen über Nachrichtenbus

Attachments

    Outcomes