Konfigurieren von Respond: Schritt 1. Konfigurieren von Warnmeldungsquellen zur Anzeige von Warnmeldungen in der Ansicht „Reagieren“

Document created by RSA Information Design and Development on May 14, 2018
Version 1Show Document
  • View in full screen mode
 

Dieses Verfahren ist erforderlich, damit Warnmeldungen von den Warnmeldungsquellen in NetWitness Respond angezeigt werden. Sie haben die Möglichkeit, die Warnmeldungen in der Ansicht „Reagieren“ anzuzeigen, zu aktivieren oder zu deaktivieren. Standardmäßig ist diese Option in Reporting Engine, Malware Analytics und NetWitness Endpoint deaktiviert und nur in Event Stream Analysis aktiviert. Wenn Sie also den Antwortserver-Dienst installieren, müssen Sie diese Option in Reporting Engine, Malware Analytics und NetWitness Endpoint aktivieren, damit die entsprechenden Warnmeldungen in der Ansicht „Reagieren“ angezeigt werden.

Voraussetzungen

Stellen Sie Folgendes sicher:

  • Antwortserver-Dienst ist installiert und wird auf NetWitness Suite ausgeführt.
  • Eine Datenbank ist für Antwortserver-Dienst konfiguriert.
  • NetWitness Endpoint ist installiert und wird ausgeführt.

Konfigurieren von Reporting Engine zur Anzeige von durch Reporting Engine ausgelösten Warnmeldungen in der Ansicht „Reagieren“

Die Anzeige der Reporting Engine-Warnmeldungen ist in der Ansicht „Reagieren“ standardmäßig deaktiviert. Um die Reporting Engine-Warnmeldungen anzuzeigen, müssen Sie die NetWitness Respond-Warnmeldungen auf der Registerkarte „Allgemein“ in der Ansicht „Services-Konfiguration“, Registerkarte „Allgemein“, für die Reporting Engine aktivieren.

  1. Navigieren Sie zu ADMIN > Services, wählen Sie einen Reporting Engine-Service aus und wählen Sie Aktionen-Symbol > Ansicht > Konfiguration.
    Die Servicekonfigurationsansicht wird mit geöffneter Registerkarte Reporting Engine Allgemein angezeigt.
  2. Wählen Sie Systemkonfiguration aus.
  3. Aktivieren Sie das Kontrollkästchen für Warnmeldungen weiterleiten an Antwort.
    Die Reporting Engine leitet nun die Warnmeldungen an NetWitness Respond weiter.

Informationen zu Parametern auf der Registerkarte „Allgemein“ finden Sie im Thema „Reporting Engine – Registerkarte Allgemein“ im Reporting Engine-Konfigurationsleitfaden.

Konfigurieren von Malware Analytics zur Anzeige von durch Malware Analytics ausgelösten Warnmeldungen in der Ansicht „Reagieren“

Die Anzeige von NetWitness Respond-Warnmeldungen ist eine Auditing-Funktion in Malware Analysis. Eine Beschreibung des Verfahrens zum Aktivieren vonNetWitness Respond- Warnmeldungen aus Incident Management finden Sie im Thema „(Optional) Konfigurieren des Auditing auf dem Malware Analysis-Host“ im Malware Analysis-Konfigurationsleitfaden.

Konfigurieren Sie NetWitness Endpoint zur Anzeige von durch NetWitness Endpoint ausgelöste Warnmeldungen in der Ansicht „Reagieren“

Dieses Verfahren ist für die Integration von NetWitness Endpoint in NetWitness Suite erforderlich, damit die NetWitness Endpoint-Warnmeldungen von der NetWitness Respond-Komponente von NetWitness Suite erkannt und in der Ansicht Reagieren > Warnmeldungen angezeigt werden.

Hinweis: RSA unterstützt NetWitness Endpoint Versionen 4.3.0.4, 4.3.0.5 oder höher für NetWitness Respond-Integration. Weitere Informationen finden Sie im Thema „RSA NetWitness Suite-Integration“ im NetWitness Endpoint-Benutzerhandbuch.

Das Diagramm unten stellt den Fluss von NetWitness Endpoint-Warnmeldungen zur NetWitness Suite Antwortserver-Dienst und dessen Anzeige in der Ansicht Reagieren > Warnmeldungen dar.

Das Diagramm zeigt den Fluss der NetWitness Endpoint-Warnmeldungen zum Respond-Service und dessen Anzeige in der Ansicht „RESPOND > Warnmeldungen“.

Konfigurieren von NetWitness Endpoint zur Anzeige von NetWitness Endpoint-Warnmeldungen

So konfigurieren Sie NetWitness Endpoint so, dass NetWitness Endpoint-Warnmeldungen in der NetWitness Suite-Benutzeroberfläche angezeigt werden:

  1. Klicken Sie in der NetWitness Endpoint-Benutzeroberfläche auf Konfigurieren > Überwachung und externe Komponenten.

    Das Dialogfeld Konfiguration externer Komponenten wird angezeigt.
    NetWitness Endpoint: Dialogfeld „Konfiguration externer Komponenten“

  2. Wählen Sie bei den aufgeführten Komponenten Incident Message Broker aus und klicken Sie auf +, um einen neuen IM-Broker hinzuzufügen.
  3. Geben Sie Werte für die folgenden Felder ein:

    1. Instanzenname: Geben Sie einen eindeutigen Namen zur Identifizierung des IM-Brokers ein.
    2. Hostname/IP-Adresse des Servers: Geben Sie die Host-DNS- oder die IP-Adresse des IM-Brokers ein (NetWitness-Server).
    3. Portnummer Der Standardport ist 5671.
  4. Klicken Sie auf Speichern.
  5. Navigieren Sie zur Datei ConsoleServer.exe.Config in C:\Programme\RSA\ECAT\Server.
  6. Ändern Sie die virtuellen Host-Konfigurationen in der Datei wie folgt:
    <add key="IMVirtualHost" value="/rsa/system" />

  7. Hinweis: In NetWitness Suite 11.0 lautet der virtuelle Host „/rsa/system“. In Version 10.6.x und niedriger lautet der virtuelle Host „/rsa/sa“.

  8. Starten Sie den API-Server und Konsolenserver neu.

  9. Um SSL für Respond-Warnmeldungen einzurichten, führen Sie folgende Schritte auf dem primären Konsolenserver von NetWitness Endpoint aus, um die SSL-Kommunikation einzurichten:

    1. Exportieren Sie das NetWitness Endpoint CA-Zertifikat im CER-Format (Base-64 encoded X.509) aus dem persönlichen Zertifikatspeicher des lokalen Computers (ohne den privaten Schlüssel auszuwählen).
    2. Erzeugen Sie ein Clientzertifikat für NetWitness Endpoint mithilfe des NetWitness Endpoint CA-Zertifikats. (Sie MÜSSEN den CN-Namen auf ecat einstellen).

      makecert -pe -n "CN=ecat" -len 2048 -ss my -sr LocalMachine -a sha1 -sky exchange -eku 1.3.6.1.5.5.7.3.2 -in "NWECA" -is MY -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -cy end -sy 12 client.cer

      Hinweis: Im oben genannten Codebeispiel sollten Sie „EcatCA“ durch „NWECA“ ersetzen, wenn Sie von einer früheren Version ein Upgrade auf Version 4.3 durchgeführt haben und keine neuen Zertifikate erzeugt haben.

    3. Notieren Sie sich den Thumbprint des in Schritt b generierten Clientzertifikats. Geben Sie den Thumbprint-Wert des Clientzertifikats im Abschnitt IMBrokerClientCertificateThumbprint der ConsoleServer.Exe.Config-Datei ein (siehe Abbildung).

      <add key="IMBrokerClientCertificateThumbprint" value="896df0efacf0c976d955d5300ba0073383c83abc"/>

  10. Kopieren Sie auf dem NetWitness-Server die NetWitness Endpoint CA-Zertifikatdatei im CER-Format in den Importordner:
    /etc/pki/nw/trust/import

  11. Geben Sie den folgenden Befehl aus, um die erforderliche Chef-Ausführung zu initiieren:
    orchestration-cli-client --update-admin-node
    Dadurch werden alle Zertifikate an den Truststore angehängt.

  12. Starten Sie den RabbitMQ-Server neu:
    systemctl restart rabbitmq-server
    Das NetWitness Endpoint-Konto sollte auf RabbitMQ automatisch verfügbar sein.

  13. Importieren Sie die Dateien /etc/pki/nw/ca/nwca-cert.pem und /etc/pki/nw/ca/ssca-cert.pem aus der NetWitness-Server und fügen Sie sie den Trusted Root Certification-Speichern auf dem Endpoint-Server hinzu.
You are here
Table of Contents > Konfigurieren von NetWitness Respond > Schritt 1. Konfigurieren von Warnmeldungsquellen zur Anzeige von Warnmeldungen in NetWitness Respond

Attachments

    Outcomes