Live: Feedback und Datenfreigabe in Security Analytics

Document created by RSA Information Design and Development on May 11, 2018Last modified by RSA Information Design and Development on May 22, 2018
Version 2Show Document
  • View in full screen mode
 

In diesem Thema werden die Feedback- und Datenfreigabefunktionen von NetWitness Suite erläutert.

Die Einstellungen für diese Funktionen sind in der Ansicht ADMIN > SYSTEM > Live-Services im Bereich „Weitere Live-Services“ verfügbar.

Weitere Live-Services

Die Teilnahme an den weiteren Live-Services wird in der Ansicht ADMIN > SYSTEM > Live-Services konfiguriert.


Live Feedback

Live Feedback soll zur Verbesserung von RSA NetWitness Suite beitragen.

Wenn Sie ein Live-Konto eingerichtet und konfiguriert haben, werden die Nutzungsdaten für RSA freigegeben. Die Daten sind entsprechend den Bestimmungen des geltenden Lizenzvertrags geschützt. Sobald eine Internetverbindung mit dem System hergestellt wurde, können Nutzungsdaten von Kunden, z. B. Auslastungskennzahlen und die verwendete Version der NetWitness Suite-Hosts, automatisch an RSA übermittelt werden.

Bevor Daten an RSA gesendet werden, werden sämtliche personenbezogenen Informationen entfernt. Daher werden nur anonyme Nutzungsdaten an RSA übertragen.

Weitere Informationen finden Sie im Thema Übersicht über Live Feedback im Systemkonfigurationsleitfaden.

RSA Live Connect

Bei RSA Live Connect handelt es sich um einen cloudbasierten Bedrohungsinformationsservice. Dieser Service erfasst, analysiert und bewertet Daten zu Bedrohungen, wie beispielsweise IP-Adressen, Domains und Dateien, die aus verschiedenen Quellen erfasst wurden, unter anderem aus der Kunden-Community von RSA NetWitness Suite und RSA ECAT. RSA Live Connect bietet die folgenden Funktionen:

  • Bedrohungseinblicke
  • Analystenverhalten

Bedrohungseinblicke

„Bedrohungseinblicke“ ermöglicht Analysten das Abrufen von Daten zu Bedrohungen (z. B. IP-bezogene Informationen) vom Live Connect-Service, um sie bei Untersuchungen zu nutzen.

Bedrohungseinblicke ist im Abschnitt Weitere Live-Services standardmäßig aktiviert. Wenn der Context Hub-Service konfiguriert wurde, wird Live Connect automatisch als Datenquelle für Context Hub hinzugefügt. Weitere Informationen finden Sie im Thema Konfigurieren von Live Connect-Datenquellen für Context Hub im Context Hub-Konfigurationsleitfaden.

Mit Live Connect als Datenquelle für Context Hub können Sie die Option „Kontextabfrage“ in der Ansicht „Untersuchung > Navigieren“ oder der Ansicht „Untersuchung > Ereignisse“ verwenden, um kontextbezogene Informationen abzurufen. Anweisungen dazu finden Sie unter „Anzeigen von zusätzlichem Kontext für einen Datenpunkt“.

Analystenverhalten

„Analystenverhalten“ ist eine Funktion, bei der Analysten Daten mit der RSA-Community teilen. Dies ist ein automatisierter Datensammlungsservice. Ihr Ziel ist es, Informationen über potenzielle Bedrohungen im RSA Live Connect-Cloudservice für Analysezwecke zu teilen. Bei den Daten, die möglicherweise aus Ihren Netzwerk mit RSA Live Connect geteilt werden, kann es sich um verschiedene von NetWitness Suite erfasste Metadatentypen wie ip.src, ip.dst, ip.addr, device.ip, alias.ip, alias.host, paddr, sessionid, domain.dst oder domain.src handeln.

Hinweis: Alle lokal erfassten Daten werden anonymisiert und verschleiert und anschließend sicher und anonym an den RSA Live Connect-Cloudservice gesendet, wo sie in einer sicheren Umgebung gespeichert werden.

Beschreibung

Live Connect Threat Data Sharing wurde als Plattform für den communitybasierten Austausch von Bedrohungsinformationen entwickelt.

Die Funktion weist die folgenden Merkmale und Ziele auf:

  • Crowdsourcing: Die RSA Community trägt zur gesamten Sammlung von Informationen bei
  • Zentrales Erfassen und Analysieren von Daten aus der RSA-Community
  • Reduzieren der Informationszykluszeit von Tagen auf Minuten

Einige zu berücksichtigende Details:

  • Es werden die Untersuchungsaktivitäten von Analysten genutzt.
  • Es werden Metadaten erfasst, z. B. IP-Adressen und Domainnamen.
  • Es erfolgt eine umfassende Analyse der Daten: Trends, Korrelationen, Erkennung von Anomalien
  • Diese Funktion befindet sich derzeit in der Betaphase.

Teilnahme

Die Mitwirkung unserer Kunden ist optional. Bei der Erstinstallation von oder dem Upgrade auf NetWitness Suite 11.0 wird ein Bestätigungsbildschirm angezeigt. Standardmäßig werden Sie in das Programm eingeschlossen, Sie können Ihre Teilnahme aber jederzeit beenden.

Cloudauthentifizierung

Die Authentifizierung für das Programm erfolgt auf der NetWitness Suite-Benutzeroberfläche, auf dem Sie das Live-Konto im Abschnitt „Live-Services“ konfigurieren.

Konfiguration

Wählen Sie zum Anzeigen oder Ändern der Einstellungen für Live Connect Threat Data Sharing im Menü „Hauptmenü“ die Optionen ADMIN > SYSTEM > Live-Services aus. Aktivieren oder deaktivieren Sie das Kontrollkästchen Aktivieren, um teilzunehmen oder die Teilnahme am Programm zu beenden.

Datenerfassung

Daten werden wie folgt erfasst:

  • Datenzuordnung: Anonym
  • Datenquelle: Teile der Metaschlüssel und Metawerte der Seitenaufrufe von Analysten in NetWitness Suite aus den NetWitness Suite Core-Abfrageprotokollen
  • Verfahren der Abfrageprotokollsammlung:

    • Zeit: Alle 24 Stunden im Batchmodus (4–6 Uhr UTC)
    • Protokollsammlung: Der NetWitness Suite-Server erfasst Protokolleinträge für NetWitness Suite Core-Geräte der letzten 24 Stunden
    • Protokolleinträge: Es werde nur SDK-Werte und SDK-Abfrage-API-Aufrufe erfasst, die eine Where-Klausel enthalten.
    • Protokollattribut-Parsing: Jeder Eintrag muss einen der folgenden Metaschlüsselindikatoren enthalten: ip.src, ip.dst, ip.addr, device.ip, alias.ip, alias.host, paddr, sessionid, domain.dst oder domain.src. Wenn dies der Fall ist, werden Metaschlüssel und Metawerte aus dem Eintrag erfasst.

    Hinweis: Sobald die oben genannten Kriterien erfüllt sind, sendet NetWitness Suite alle Metaschlüssel und -werte aus der Abfrage in die Cloud – nicht nur die Metadaten wichtiger Indikatoren.

Der Protokollbericht wird im JSON-Format über SSL gesendet. Er enthält Folgendes:

  • Zeitstempel
  • Live-CMS-Benutzername (SHA-256)
  • NetWitness Suite-Lizenzserver-ID (SHA-256)
  • Liste der SA-Endpunkt-IDs (SHA-256)
  • Erfasste Metawerte (MD5- und SHA-256-Hash)

Beispiel

In diesem Abschnitt werden die Einträge aus einem Protokoll und dann die entsprechenden Abschnitte der extrapolierten Daten aufgelistet.

Ausschnitt aus einer Protokolldatei:

User admin (session 204298, 10.4.50.60:57454) has issued values (channel 205237) (thread 2332): fieldName=filter id1=1 id2=23138902 threshold=100000 size=20 flags=sessions,sort-total,order-descending,ignore-cache where="(alias.host = 'mail.google.com') && (ip.src = 161.253.31.130) && time=\"2015-12-07 18:08:00\"-\"2015-12-07 21:07:59\"“

Durch Hashing extrapolierte Daten:

Troubleshooting

Dieser Abschnitt enthält einige Informationen zum Troubleshooting von Live Connect Threat Data Sharing.

Beispiel für den Abfrageprotokollabruf

Um einen Auszug der an Live Connect gesendeten Bedrohungsinformationsdaten abzurufen, erstellen Sie eine URL, indem Sie die folgenden Parameter festlegen:

  • sendReport: Wert ist true oder false: Legen Sie „true“ fest, um diesen Bericht an den Live Connect-Server zu senden. Legen Sie „false“ fest, um den Bericht nur für die Anzeige zu erstellen. Der Standardwert ist „false“.
  • hashValues: Wert ist true oder false: Legen Sie „true“ fest, um die Werte in MD5/SHA-256-Hash-Werte umzuwandeln. Legen Sie „False“ fest, um die Werte als Klartext anzuzeigen. Dies sollte nur für die manuelle Anzeige verwendet werden. Der Standardwert ist „false“.
  • startDate/endDate: Datumsangaben für Zeitbeschränkungen für Protokolleinträge. Format: JJJJ-MM-TT HH:mm:ss

Es folgt ein Beispiel für die URL zum Abrufen der Abfrageprotokolle:

https://<server>/admin/liveconnect/force_aggregation?startDate=2016-01-18%2000:00:00&endDate=2016-01-19%2010:10:00&sendReport=false&hashValues=true

Systemprotokollierung: Debuggen

Sie können einige Debuginformationen wie folgt aufrufen.

  1. Wählen Sie ADMIN > SYSTEM > Systemprotokollierung aus.
  2. Wählen Sie die Registerkarte Einstellungen aus.
  3. Wählen Sie im Bereich „Paketkonfiguration“ den Pfad com > netwitness > platform > server > liveconnect > service (DEBUG) aus.

You are here
Table of Contents > Referenzen > NetWitness-Feedback und Datenfreigabe

Attachments

    Outcomes