MA: Konfigurieren der Malware Analysis-Betriebsumgebung

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

 

Sie können die NetWitness Suite-Betriebsumgebung zur Verbindungsherstellung mit einem NetWitness Suite Malware Analysis-Service konfigurieren.

Malware Analysis fungiert als Service auf einer dedizierten Malware Analysis-Appliance. Wenn Ihr Standort eine dedizierte Appliance verwendet, führen Sie einen der folgenden Schritte aus:

  • Wenn Ihr Standort eine neue dedizierte NetWitness Suite Malware Analysis-Appliance hinzufügt, installieren Sie die physische Appliance in Ihrem Netzwerk und konfigurieren Sie die Betriebsumgebung.
  • Wenn an Ihrem Standort eine dedizierte Spectrum-Appliance auf eine dedizierte NetWitness Suite Malware Analysis-Appliance aktualisiert werden soll, müssen Sie die Spectrum-Appliance per Image als Malware Analysis-Appliance erstellen.

Malware Analysis ist bei der Ausführung abhängig von der Core-Infrastruktur. Um eine erfolgreiche Datenanalyse durch Malware Analysis zu gewährleisten, müssen Sie die folgenden Schritte ausführen.

  1. Konfigurieren Sie den integrierten Broker in der Malware Analysis-Appliance für die Verbindung mit einem anderen Broker oder Concentrator in der vorhandenen Core-Infrastruktur.

Hinweis: Wenn keine Core-Infrastruktur vorhanden ist, können nur manuell hochgeladene Dateien analysiert werden.

  1. Verwenden Sie NetWitness Suite Live, um alle Live-Ressourcen mit dem Tag malware analysis zu finden, und stellen Sie diese Ressourcen für jeden Decoder-Service bereit, der Datenverkehr zur Analyse durch Malware Analysis erfasst. NetWitness Suite verwendet diese proprietären Parser und Feeds, um Ereignisse zu finden, die höchstwahrscheinlich Schadsoftware enthalten.
  2. Konfigurieren Sie Kommunikationsports. Malware Analysis erfordert mehrere verschiedene geöffnete Kommunikationsports, einschließlich TCP/443 für HTTPS. Diese werden im unten stehenden Abschnitt Netzwerkverbindungen beschrieben.
  3. Konfigurieren Sie die NextGen-Quelle, mit der Malware Analysis verbunden werden soll. Dies ist der Broker oder Concentrator.
    Malware Analysis ist jetzt bereit für die Analyse des Netzwerkdatenverkehrs.

Netzwerkverbindungen

Eingehende und ausgehende Netzwerkverbindungen müssen so konfiguriert werden, dass die Malware Analysis-Appliance ohne Probleme mit Services, RSA-Quellen für Softwareupdates und anderen wichtigen Informationen kommunizieren kann.

Ihre Netzwerkfirewall muss so konfiguriert sein, dass Malware Analysis Zugriff auf das Internet hat. Falls notwendig können Proxyserver verwendet werden, um diese Verbindungen leichter herzustellen.

Eingehende Verbindungen

TCP/22 – Secure Shell-Zugriff auf den Malware Analysis-Server zur Überprüfung von Protokolldateien und für Troubleshooting. Der Zugriff kann auf IP-Adressen begrenzt werden, die Malware Analysis managen.

  • TCP/443 – HTTPS-webbasierte Verbindung für den Zugriff auf die Malware Analysis-Benutzeroberfläche.
  • TCP/50008 – JMX-Port für Performance-Troubleshooting unter Verwendung einer Anwendung wie zum Beispiel JVisualVM. Dies ist optional und der Zugriff kann auf IP-Adressen begrenzt werden, die Malware Analysis managen.

Ausgehende Verbindungen

  • TCP/443 – HTTPS-Verbindungen zu SSL-basierten Webservern. Manche Funktionen ermöglichen es, dass Malware Analysis Dateien oder Dokumente zur Analyse an Server sendet. Hierfür werden sichere Verbindungen benötigt. Die Verwendung eines Webproxyservers wird unterstützt.
  • (TCP/443 – SSL-Verbindung zwischen Malware Analysis und der RSA-Cloud. Die Verwendung eines SOCKS-Proxyservers wird unterstützt. Veränderungen der Kundeninfrastruktur sind gegebenenfalls erforderlich, um zu gewährleisten, dass 443 für cloud.netwitness.com geöffnet ist.)
  • TCP/50103 – REST API-Port für die Kommunikation mit einem Broker (NetWitness Suite 10.3.x und älter).
  • TCP/50105 – REST API-Port für die Kommunikation mit einem Concentrator (NetWitness Suite 10.3.x und älter).
  • TCP/50003, TCP/56003 – Ports für die Kommunikation mit einem Broker (NetWitness Suite 10.4 und höher).
  • TCP/50005, TCP/56005 – Ports für die Kommunikation mit einem Concentrator (NetWitness Suite 10.4 und höher).
  • ICMP – JMS-Verbindung zwischen NetWitness Suite und dem Malware Analysis-Service zur Verifizierung der Gültigkeit des eingegebenen Hostnamens und der IP-Adresse für eine erfolgreiche Testverbindung.
You are here
Table of Contents > Konfiguration von Malware Analysis > Schritt 1. Konfigurieren der Malware-Analysis-Betriebsumgebung

Attachments

    Outcomes