Konfigurieren kontextbezogener Daten von Endpoint über wiederkehrenden Feed

Document created by RSA Information Design and Development on May 11, 2018
Version 1Show Document
  • View in full screen mode
 

Sie können RSA NetWitness Endpoint-Daten in RSA NetWitness Suite so konfigurieren, dass kontextbezogene Daten aus NetWitness Endpoint in Decoder- und Log Decoder-Sitzungen bereitgestellt werden. Diese Konfiguration beinhaltet das Hinzufügen kontextbezogener Metawerte zusätzlich zu den IOC-Sofortwarnmeldungen, die Korrelationen zu anderen Metadaten im NetWitness Suite-Ökosystem herstellen können.

Administratoren können NetWitness Suite so konfigurieren, dass kontextbezogene Daten aus NetWitness Endpoint, die vom System gescannt wurden, über einen wiederkehrenden Feed von NetWitness Suite Live abgerufen werden können. Diese Integration kann die Sitzung eines Decoder oder Log Decoder mit kontextbezogenen Informationen bereichern, die in NetWitness Suite Investigation angezeigt werden. Beispiele hierfür sind Hostbetriebssysteme, MAC-Adressen, die IIOC-Bewertung und andere Daten, die möglicherweise nicht im Protokoll oder in den Paketdaten von Sitzungen eines Decoder oder Log Decoder enthalten sind.

Hinweis: Obwohl diese Funktion für Kunden mit einem Paket-Decoder konzipiert ist, kann ein wiederkehrender Feed auch in Log Decoders integriert werden.

Achtung: Die Verwendung dieses wiederkehrenden Feeds in Umgebungen mit vielen NetWitness Endpoint-Hosts kann zu einer reduzierten Performance der in NetWitness Suite integrierten Geräte (Decoder und Log Decoder) führen.

Voraussetzungen

  • NetWitness Endpoint-Konsolenserver Version 4.3.0.4, 4.3.0.5 oder 4.4 und NetWitness-Server-Version 10.4 und höher müssen installiert sein.
  • RSA Decoder und Concentrator Version 11.0 sind mit dem NetWitness-Server im Netzwerk verbunden.

Führen Sie die folgenden Schritte aus, um kontextbezogene Daten von NetWitness Endpoint über einen wiederkehrenden Feed zu konfigurieren:

  1. Aktivieren Sie den NetWitness Endpoint-Feed für NetWitness Suite in der NetWitness Endpoint-Benutzeroberfläche.
  2. Exportieren Sie das NetWitness Endpoint-Zertifizierungsstellenzertifikat aus dem NetWitness Endpoint-Konsolenserver und importieren Sie es in den NetWitness Suite-Truststore.
  3. Konfigurieren Sie den NetWitness Suite Concentrator-Service zur Definition der indexierten Metaschlüssel.
  4. Erstellen Sie einen wiederkehrenden Feed in NetWitness Suite Live.

Aktivieren des NetWitness Endpoint-Feeds für NetWitness Suite

  1. Erstellen Sie in der NetWitness Endpoint-Benutzeroberfläche einen SQL-Benutzer in NetWitness Endpoint:
    1. Öffnen Sie die NetWitness Endpoint-Benutzeroberfläche und melden Sie sich mit den richtigen Anmeldedaten an.
    2. Wählen Sie in der Menüleiste Konfigurieren > Managen von Benutzern und Rollen aus, klicken Sie mit der rechten Maustaste in den Bereich und wählen Sie SQL-Benutzer erstellen aus.
      Das Dialogfeld „Neuen SQL-Benutzer erstellen“ wird angezeigt.
      Create a new SQL server dialog
    3. Geben Sie den Benutzernamen und das Passwort ein und klicken Sie auf Erstellen.
  2. Wählen Sie in der Menüleiste Konfigurieren > Überwachung und externe Komponenten aus.
    Das Dialogfeld „Konfiguration externer Komponenten“ wird angezeigt. External Components Configuration dialog

  3. Klicken Sie in NetWitness Suite auf +.
    Das Dialogfeld NetWitness Suite wird angezeigt.
    NetWitness Suite Dialog
  4. Geben Sie im Bereich NetWitness Suite in Ein den Namen zur Identifizierung der NetWitness Suite-Komponente ein.
  5. Führen Sie im Abschnitt NetWitness Suite-Verbindung die folgenden Schritte aus:
    1. Geben Sie im Feld Hostname/IP des Servers den Hostnamen oder die IP-Adresse des NetWitness-Server ein.
    2. Geben Sie im Feld Port die Portnummer ein. Die Standardportnummer ist 443.
  6. Führen Sie im Bereich NetWitness Suite konfigurieren die folgenden Schritte aus:
    1. Wählen Sie im Feld Serverzeitzone die Zeitzone für die Komponente aus der Drop-down-Liste aus.
    2. Geben Sie im Feld Geräte-ID die NetWitness Suite Concentrator-Geräte-ID ein.
  7. Hinweis: Sie finden die Geräte-ID in NetWitness Suite, wenn Sie einen Concentrator oder Broker in Investigation > Navigieren ><Concentrator- oder Broker-Name> suchen. Die Geräte-ID ist die Zahl in der URL nach „investigation“. Beispiel: In der URL https://<IP address>investigation/319/navigate/values ist die Geräte-ID 319.

Das Feld URI wird ausgefüllt, wenn Sie auf Speichern klicken.

  1. Geben Sie im Bereich Abfrageoptimierung im Feld Keine Abfrage durchführen, die älter ist als eine Anzahl von Tagen ein, um den Abfragezeitraum zu beschränken. Geben Sie 0 ein, wenn Sie diese Funktion verwerfen möchten.
  2. Führen Sie im Bereich Zeitbereich der Abfrage die folgenden Schritte aus:
    1. Geben Sie im Feld Min. die Anzahl der Minuten für den minimalen Zeitbereich der Abfrage ein. Dieser Wert wird verwendet, um den an NetWitness Suite übermittelten Zeitbereich automatisch zu erhöhen. Dadurch wird sichergestellt, dass eine Abfrage eine positive Antwort zurückgibt, wenn die vom NetWitness Endpoint-Agent berichtete Zeit geringfügig von der Zeit von NetWitness Endpoint abweicht.

    2. Geben Sie im Feld Max. die Anzahl der Minuten zur Beschränkung des Zeitbereichs ein. Dieser Wert wird verwendet, um den an NetWitness Suite übermittelten Zeitbereich automatisch zu beschränken, damit der NetWitness-Server von Abfragen nicht überlastet wird.
  3. Führen Sie im Bereich RSA NetWitness Endpoint-Feeds konfigurieren für NetWitness Suite die folgenden Schritte aus:
    1. Wählen Sie RSA NetWitness Endpoint-Feed aktivieren aus.
    2. Geben Sie im Feld URL Benutzername und Passwort für SQL (konfiguriert in Schritt 1) für den Zugriff auf den Speicherort des Feeds ein.
      Das Feld URL wird ausgefüllt, wenn Sie auf Speichern klicken.
    3. Geben Sie das Zeitintervall für die Häufigkeit an, mit der Feeds veröffentlicht werden.
  4. Wählen Sie im Bereich Intervall Feed-Veröffentlichung im Feld Zeitintervall das Zeitintervall in Stunden und Minuten für die Häufigkeit aus, mit der Feeds veröffentlicht werden.
  5. Geben Sie im Bereich Folgenden Benutzern URL-Zugriff ermöglichen auf den Benutzernamen und das Passwort des NetWitness Endpoint-Benutzers ein.
  6. Klicken Sie auf Speichern.
    Ein Feed wird erstellt.

Exportieren des SSL-Zertifikats von NetWitness Endpoint

Hinweis: Dieses Verfahren funktioniert nur für NetWitness Suite 10.5 und höher, da die Unterstützung für Java 8 in 10.5 hinzugekommen ist. Wenn Sie eine frühere Version von NetWitness Suite verwenden, schlagen Sie bitte in der entsprechenden Version dieses Leitfadens nach.

So exportieren Sie das NetWitness Endpoint-Zertifizierungsstellenzertifikat aus dem NetWitness Endpoint-Konsolenserver und kopieren es auf den NetWitness Suite-Host:

  1. Melden Sie sich bei der NetWitness Endpoint-Konsole an.
  2. Öffnen SieMMC.
  3. Fügen Sie ein Zertifikat-Snap-in für das Computerkonto hinzu.
  4. Exportieren Sie das Zertifikat mit dem Namen EcatCA.
    1. Exportieren Sie es ohne privaten Schlüssel.
    2. Exportieren Sie es im DER-codierten binären X.509-Format (.CER).
    3. Geben Sie den Namen EcatCA.cer ein.
  5. Kopieren Sie das NetWitness Endpoint-Zertifizierungsstellenzertifikat auf den NetWitness Suite-Host:
    • Bei einer Neuinstallation von NetWitness Endpoint 4.3.0.4, 4.3.0.5 oder 4.4:
      scp NweCA.cer root@<sa-machine>:.
    • Bei einem Upgrade von NetWitness Endpoint von der vorherigen Version auf 4.3.0.4 oder 4.3.0.5:
      scp EcatCA.cer root@<sa-machine>:.
  1. Führen Sie die folgenden Schritte aus, um das NetWitness Endpoint-Zertifizierungsstellenzertifikat in den NetWitness Suite-Truststore zu importieren:
    1. Prüfen Sie die auf Ihrer NetWitness Suite installierte Java-Version mithilfe des folgenden Befehls:
      java -version
      Die openjdk-Version wird angezeigt. Beispiel: openjdk-Version „1.8.0_71

    2. Navigieren Sie zum Festlegen des Parameters JDK zum Java-Verzeichnis. Geben Sie die folgenden Befehle ein:
    • JDK=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.141-1.b16.el7_3.x86_64/jre/

    • Bei einer Neuinstallation von NetWitness Endpoint:

      $JDK/bin/keytool -import -v -trustcacerts -alias nweca -file ~/NweCA.cer -keystore $JDK/lib/security/cacerts -storepass changeit

    • Bei einem Upgrade von NetWitness Endpoint von der vorherigen Version:

      $JDK/bin/keytool -import -v -trustcacerts -alias ecatca -file ~/EcatCA.cer -keystore $JDK/lib/security/cacerts -storepass changeit

    Wenn Sie zur Bestätigung der Zertifikataktualisierung aufgefordert werden, geben Sie Ja ein.

  2. Führen Sie auf dem NetWitness Suite-Host einen der folgenden Schritte aus:
    • Bei einer Neuinstallation von NetWitness Endpoint 4.3.0.4, 4.3.0.5 oder 4.4 bearbeiten Sie /etc/hosts so, dass die IP-Adresse des NetWitness Endpoint-Konsolenservers dem Namen NweServerCertificate zugeordnet wird, indem Sie die folgende Zeile zur Datei hinzufügen:

      <ip-address-ecat-cs> NweServerCertificate

    • Bearbeiten Sie bei einem Upgrade von NetWitness Endpoint von der vorherigen Version auf 4.3.0.4 oder 4.3.0.5 /etc/hosts so, dass die IP-Adresse des NetWitness Endpoint-Konsolenservers, für den das Upgrade durchgeführt wird, dem Namen ecatserverexported zugeordnet wird, indem Sie die folgende Zeile zur Datei hinzufügen:

      <ip-address-ecat-cs> ecatserverexported

  3. Um NetWitness Suite neu zu starten, geben Sie den folgenden Befehl ein:

    service jetty restart

Konfigurieren des NetWitness Suite Concentrator-Services

  1. Melden Sie sich bei NetWitness Suite an und wechseln Sie zu ADMIN > Services.
  2. Wählen Sie einen Concentrator aus der Liste aus und wählen Sie Ansicht > Konfiguration aus.
  3. Wählen Sie die Registerkarte Dateien aus und wählen Sie aus dem Drop-down-Menü Zu bearbeitende Dateien die Datei index-concentrator-custom.xml aus.
  4. Fügen Sie der Datei folgende NetWitness Endpoint-Metaschlüssel hinzu und klicken Sie auf Anwenden. Stellen Sie sicher, dass diese Datei die XML-Abschnitte bereits enthält; wenn die Zeilen nicht enthalten sind, fügen Sie sie hinzu. Die folgenden Zeilen dienen als Beispiele. Stellen Sie sicher, dass die Werte Ihrer Konfiguration und den Spaltennamen in der Feeddefinition entsprechen. Dabei gilt Folgendes:
    description ist der Name des Metaschlüssels, den Sie in NetWitness Suite Investigation anzeigen möchten.
    level entspricht „IndexValues“
    name stimmt mit dem Spaltennamen der CSV-Datei überein, die von NetWitness Suite während der Definition des wiederkehrenden Feeds verwendet wird (siehe die unten stehende Tabelle in Konfiguration der wiederkehrenden benutzerdefinierten Feedaufgabe in NetWitness Suite).

    <key description="Gateway" format="Text" level="IndexValues" name="gateway" valueMax="250000" defaultAction="Open"/>

    <key description="Risk Number" format="Float64" level="IndexValues" name="risk.num" valueMax="250000" defaultAction="Open"/>

    <key description="Strans Addr" format="Text" level="IndexValues" name="stransaddr" valueMax="250000" defaultAction="Open"/>

    <key description="Domain" format="Text" level="IndexValues" name="domain" valueMax="250000" defaultAction="Open"/>

    <key description="User Account" format="Text" level="IndexValues" name="username" valueMax="250000" defaultAction="Open"/>

    <key description="Ecat Connectiontime" format="Text" level="IndexValues" name="ecat.ctime" valueMax="250000" defaultAction="Open"/>

    <key description="Ecat Scantime" format="Text" level="IndexValues" name="ecat.stime" valueMax="250000" defaultAction="Open"/>

  5. Starten Sie den Concentrator neu, um die Aktualisierungen für benutzerdefinierte Schlüssel zu aktivieren.

Konfigurieren der wiederkehrenden benutzerdefinierten Feedaufgabe in NetWitness Suite

  1. Melden Sie sich bei NetWitness Suite an und wechseln Sie zu Konfigurieren > Benutzerdefinierte Feeds.
    Die Ansicht Feeds wird angezeigt.
  2. Klicken Sie in der Symbolleiste auf Add Icon.
    Das Dialogfeld „Feed einrichten“ wird angezeigt.
  3. Wählen Sie im Dialogfeld „Feed einrichten“ die Option Benutzerdefinierter Feed aus und klicken Sie auf Weiter.
    Der Assistent „Benutzerdefinierten Feed konfigurieren“ wird mit geöffnetem Formular „Feed definieren“ angezeigt.
  4. Führen Sie im Feld Feed definieren folgende Schritte aus:
    • Wählen Sie im Feld Typ der Feedaufgabe die Option Wiederkehrend aus.
    • Geben Sie im Feld Name den Namen des Feeds ein, z. B. EndpointFeed.
    • Geben Sie im Feld URL die URL mit dem Hostnamen des Windows-Servers ein, auf dem NetWitness Endpoint installiert ist:
    1. Aktivieren Sie das Kontrollkästchen Authentifiziert und geben Sie den Benutzernamen und das Passwort ein, dass Sie beim Aktivieren des ECAT-Feeds notiert haben.
    1. Klicken Sie auf Überprüfen, um zu prüfen, ob NetWitness Suite die Webressource erreichen kann.
    1. Legen Sie den Zeitplan fest und klicken Sie auf Weiter.Define Feed
  5. Wählen Sie in der Registerkarte Services auswählen den Decoder oder die Gruppen aus, die den Feed abrufen. Klicken Sie auf Weiter.
  6. Geben Sie in der Registerkarte Spalten definieren die Spaltennamen ein (wie in der unten stehenden Tabelle gezeigt) und speichern Sie den Feed.Define Columns

Die folgende Tabelle zeigt die Spalten in der CSV-Datei für den NetWitness Endpoint-Feed.

                                                                                   
SpalteNameBeschreibungSpaltenname in NetWitness Suite (Metaschlüsselname)
1MachineNameHostname des Windows-Agentalias.host
2LocalIpIPv4-AdresseIP-Typ (indexierte Spalte)
3RemoteIpEntfernte IP, wie sie vom Router gesehen wirdstransaddr
4GatewayIpIP-Adresse des Gatewaysgateway
5MacAddressMAC-Adresseeth.src
6OperatingSystemVom Windows-Agent verwendetes BetriebssystemBetriebssystem
7AgentIDAgent-ID des Hosts (eindeutige dem Agent zugewiesene ID)Client
8ConnectionUTCTimeLetzter Zeitpunkt, zu dem sich der Agent mit dem NetWitness Endpoint-Server verbunden hatecat.ctime
9QuelldomainDomaindomain.src
10ScanUTC-ZeitZeitpunkt der letzten Überprüfung des Agentecat.stime

11

UserName

Benutzername des Clientcomputers

username

12MaschinenbewertungWert, der das Verdachtslevel des Agent anzeigtrisk.num

Hinweis: In der Tabelle ist die empfohlene Indexeinstellung „LocalIp“. Wenn die LocalIp für den NetWitness Endpoint-Agent-PC von einem DHCP-Server zugewiesen wurde, die DHCP-Zuweisung abgelaufen ist und die IP-Adresse auf einem anderen PC erneut zugewiesen wird, sind die vom Feed erstellten Metadaten nicht korrekt. Verwenden Sie zur Vermeidung dieses Risikos den Computernamen oder die MAC-Adresse anstelle der localIP-Adresse als Feedindex. Wenn Sie beispielsweise eine MAC-Adresse verwenden, können Sie die Werte wie in der folgenden Abbildung gezeigt eingeben.

Mac address for the endpoint feed

Ergebnis

Bei der Anzeige von Feeddaten in NetWitness Suite werden Metadaten in die Benutzeroberflächen „Investigation“, „Reporting“ und „Alerting“ übermittelt, wenn der Indexwert (ip.scr) übereinstimmt.

You are here
Table of Contents > Konfigurieren kontextbezogener Daten von Endpoint über wiederkehrenden Feed

Attachments

    Outcomes