MA: Basiseinrichtung

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 14, 2018
Version 2Show Document
  • View in full screen mode
 

Malware Analysis kann als Service auf einem Decoder oder als Service auf einer dedizierten Appliance ausgeführt werden. In diesem Handbuch werden Anweisungen zur Einrichtung der Betriebsumgebung und der anschließenden Konfiguration des Malware Analysis-Services bereitgestellt. Sobald diese Konfiguration abgeschlossen ist, können Analysten eine Schadsoftwareanalyse durchführen.

Dies sind die erforderlichen Schritte zur Konfiguration von Malware Analysis sowie zur Änderung der Konfiguration. Führen Sie die in diesem Abschnitt aufgezeigten Schritte in vorgegebener Reihenfolge aus.

Checkliste der grundlegenden Konfiguration

In der folgenden Checkliste sind die Aufgaben enthalten, die zur Konfiguration von Malware Analysis erforderlich sind, das in Übereinstimmung mit dem Leitfaden für die ersten Schritte mit Hosts und Services zu NetWitness Suite hinzugefügt wurde.

                                                   
SchrittAllgemeine Aufgaben
Schritt 1: Konfigurieren der Malware Analysis-Betriebsumgebung

Konfigurieren der Malware Analysis-Betriebsumgebung

In diesem Thema werden die Verfahren zum Konfigurieren der Betriebsumgebung für die Verbindung mit einem Malware Analysis-Service beschrieben.

Schritt 2: Hinzufügen eines Malware Analysis-Hosts und -Services

Hinzufügen eines Malware Analysis-Hosts und -Services

Hinweis: Um diesen Schritt abzuschließen, müssen Sie den NetWitness Suite-Lizenzserver so eingerichtet haben, wie es im Handbuch zur Lizenzierung beschrieben ist. 

Erstellen Sie in NetWitness Suite einen Malware Analysis-Service und aktivieren Sie die Lizenz. Der Standard REST-Port ist 60007. Auf Standorten, an denen die kostenlose Version von Malware Analysis verwendet wird, muss die Service-IP-Adresse als localhost oder loopback installiert werden.

Schritt 3: Konfigurieren der allgemeinen Malware Analysis-Einstellungen

Konfigurieren der allgemeinen Malware Analysis-Einstellungen

  • Aktivieren Sie kontinuierliches Abfragen.
  • Konfigurieren Sie ein Limit für Dateien, die manuell hochgeladen werden können.
  • Konfigurieren Sie das Dateienspeicher-Repository und die Datenbank.
  • Kalibrieren Sie die Bewertungsmodule Statisch, Netzwerk, Community und Sandbox.
Schritt 4: Konfigurieren der Indikatoren für eine Infizierung

Konfigurieren der Indikatoren für eine Infizierung

Kalibrieren Sie die Indikatoren für eine Infizierung, die für jedes Bewertungsmodul (Statisch, Netzwerk, Community, Sandbox) und für YARA-basierende IOCs angewendet werden.

Schritt 5: Konfigurieren installierter Virenschutzanbieter

Konfigurieren installierter Virenschutzanbieter

Schritt 6: Aktivieren der Community-Bewertung

Aktivieren der Communityanalyse

Registrieren Sie sich in der RSA-Cloud und testen Sie Verbindungen, um Communitybewertungen zu aktivieren.

Schritt 7: Konfigurieren des Auditing auf dem Malware Analysis-Host

(Optional) Konfigurieren des Auditing auf dem Malware Analysis-Host

Konfigurieren Sie Schwellenwerte für das Auditing und aktivieren Sie Syslog, SNMP und Dateiauditing.

Schritt 8: Konfigurieren eines Hash-Filters

(Optional) Konfigurieren eines Hash-Filters

Konfigurieren Sie Hash-Filter zur Feinabstimmung der Malware Analysis-Ereignisanalye basierend auf bekannten sauberen oder fehlerhaften Datei-Hashs.

Schritt 9: Konfigurieren der Malware Analysis-Proxyeinstellungen

(Optional) Konfigurieren der Malware Analysis-Proxyeinstellungen

Konfigurieren Sie Malware Analysis für die Kommunikation mit RSA Cloud über einen Webproxy statt direkt zu kommunizieren.

Schritt 10: Registrieren für einen ThreatGrid-API-Schlüssel.

(Optional) Registrieren für einen ThreatGrid-API-Schlüssel

You are here
Table of Contents > Konfiguration von Malware Analysis

Attachments

    Outcomes