RSA Endpoint-Integration

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

RSA-Kunden, die RSA NetWitness Endpoint 4.3.0.4, 4.3.0.5 oder 4.4 verwenden, können NetWitness Endpoint und RSA NetWitness Suite auf verschiedene Arten integrieren. Dieser Leitfaden behandelt RSA NetWitness Suite Version 11.0.

Integrationsoptionen

NetWitness Endpoint-Integration in NetWitness Suite

Integrierte NetWitness Endpoint-Suche

Wenn die RSA NetWitness Endpoint-Benutzeroberfläche auf demselben Computer installiert ist, auf dem der Analyst einen Browser für den Zugriff auf NetWitness Suite verwendet, liefert die integrierte NetWitness Endpoint-Suche von NetWitness Suite Investigation und NetWitness Suite Respond über einen Klick mit der rechten Maustaste Zugriff auf den NetWitness Endpoint-Konsolenserver für folgende Metaschlüssel: IP-Adresse (ip-src, ip-dst, ipv6-src, ipv6-dst, orig_ip), host (alias-host, domain.dst), client und file-hash. Diese sind im Thema „Starten einer externen Suche eines Metaschlüssels“ unter Leitfaden Investigation und Malware Analysis und im Thema „Warnmeldungen anzeigen“ unter Leitfaden NetWitness Respond beschrieben.

Es ist keine NetWitness Suite-Konfiguration für die Endpunktsuche erforderlich, wenn Sie einen der integrierten Parser (NetWitness Endpoint oder CEF) verwenden und die Standardmetaschlüssel, die beim Laden von Metadaten in Investigation verwendet werden, nicht angepasst haben. Weitere Informationen finden Sie im Thema „Verwalten und Anwenden von Standardmetaschlüsseln in einer Ermittlung“ im Leitfaden Investigation und Malware Analysis.

Hinweis: Eine Ausnahme liegt vor, wenn Sie NetWitness Suite anpassen, indem Sie die Anzeigeeinstellung für die Standardmetaschlüssel in Investigation bearbeiten, Metaschlüssel zur Datei „table-map-custom.xml“ hinzufügen oder NetWitness Endpoint-Feeds anpassen. Ein gewisses Maß an Konfiguration ist erforderlich, um die benutzerdefinierten Metaschlüssel dem Kontextmenü „NetWitness Endpoint-Suche“ in der Ansicht ADMIN > System hinzuzufügen, wie im Thema „Hinzufügen benutzerdefinierter Kontextmenüaktionen“ im Systemkonfigurationsleitfaden beschrieben.

Integrationsmethoden

Mit einem auf einem Windows-Host installierten RSA NetWitness Endpoint 4.3.0.4, 4.3.0.5 oder 4.4 Konsolenserver und richtiger Konfiguration von NetWitness Endpoint und NetWitness Suite durch einen Administrator sind drei weitere Integrationen der NetWitness Endpoint-Analyse möglich.

Im Folgenden werden die RSA NetWitness Endpoint-Integrationsmethoden beschrieben:

  • Konfigurieren von Endpoint-Warnmeldungen über Nachrichtenbus
  • Konfigurieren kontextbezogener Daten von Endpoint über wiederkehrenden Feed
  • Konfigurieren von Endpoint-Warnmeldungen über Syslog in einen Log Decoder

Endpoint-Warnmeldungen über Nachrichtenbus in NetWitness Respond. Diese Integration bietet die Möglichkeit für die Weiterleitung von Endpoint-Warnmeldungen an Respond über Nachrichtenbus.

Kontextbezogene Daten von Endpoint über einen wiederkehrenden NetWitness Suite Live-Feed. Diese Integration kann die in NetWitness Suite Investigation angezeigte Sitzung mit kontextbezogenen Informationen anreichern. Einige Beispiele sind das Hostbetriebssystem, die MAC-Adresse, IIOC-Bewertung sowie andere Daten, die möglicherweise nicht in den Protokoll- oder Paketdaten enthalten sind.

NetWitness Endpoint-Warnmeldungen über Syslog (CEF) in NetWitness Suite Log Decoder. Diese Integration bietet die Möglichkeit, Endpoint-Ereignisse über Syslog weiterzuleiten und die Ereignisse mit anderen Protokoll- oder Paketmetadaten in dem NetWitness Suite-Ökosystem zu korrelieren.

NetWitness Endpoint Meta-Integration

Die NetWitness Endpoint Meta-Integration in RSA NetWitness Suite bietet Kunden, die beide Produkte besitzen, die Möglichkeit, ihre Produkte leichter auf einer einzigen Benutzeroberfläche zu nutzen. Das folgende Diagramm zeigt, wie NetWitnessEndpoint in die NetWitness Suite integriert werden kann. Die NetWitness Endpoint-Metadaten werden auf allen Computern erfasst und veröffentlicht, auf denen NetWitness Endpoint-Agents bereitgestellt wurden, und dann an den NetWitness Suite-Log Decoder gesendet.

Die Metadaten können dann im zugehörigen NetWitness Suite Concentrator und auch in NetWitness Suite Investigate angezeigt werden.

NetWitness Endpoint Meta-Integration

NetWitness Endpoint-Warnmeldungen und Indikatoren für eine Infizierung

Ein NetWitness Endpoint-IIOC (Indicator of Compromise, Indikator für eine Infizierung) ist eine Datenbankabfrage, die NetWitness Endpoint für gesammelte NetWitness Endpoint-Scandaten durchführt, um auf gescannten Hosts potenziell vorhandene Schadsoftware zu ermitteln. RSA NetWitness Endpoint 4.1.2 und höher enthält im Lieferumfang IOCs, die Benutzer aktivieren und als warnpflichtig markieren können. RSA NetWitness Endpoint führt regelmäßig IOC-Abfragen auf neuen Scandaten aus, die in der Datenbank gesammelt und gespeichert werden. Wenn die IOC-Abfrage positiv ist, wird ein potenzieller Indikator für eine Infizierung angezeigt und das Ereignis kann einem Benutzer gemeldet werden oder als Warnmeldung an ein externes System gesendet werden.

Mögliche Warnmeldungstypen sind:

  • Warnmeldung Maschine: Diese Warnmeldung gibt an, dass die betroffene Maschine verdächtig ist.
  • Warnmeldung Modul: Diese Warnmeldung gibt an, dass ein Modul, z. B. eine Datei, ein DLL oder eine ausführbare Datei, verdächtig ist. Sie enthält Details über das betroffene Modul.
  • Warnmeldung Ereignis: Diese Warnmeldung stellt alle anderen verdächtigen Aktivitäten, die von NetWitness Endpoint entdeckt wurden und nicht in die oben angeführten Kategorien fallen, dar.

Jeder dieser Warnmeldungstypen kann an NetWitness Suite gesendet werden.

You are here
Table of Contents > RSA Endpoint-Integration

Attachments

    Outcomes