エンドポイント:NetWitness Endpoint 4.4.0.2以降とNetWitness Endpoint 11.1の統合

Document created by RSA Information Design and Development on Oct 12, 2018Last modified by RSA Information Design and Development on Oct 19, 2018
Version 3Show Document
  • View in full screen mode
 

次のいずれかの方法で、NetWitness Endpoint 4.4.0.2のエンドポイント メタデータを構成できます。

  • (オプション1)NetWitness Endpoint 4.4.0.2 Console ServerをEndpoint HybridまたはEndpoint Log Hybridに統合する : NetWitness Endpoint 4.4.0.2以降のエージェント データを、[調査]>[ホスト]ビューおよび[ファイル]ビューで表示できます。また、[調査]>[ナビゲート]ビューおよび[イベント分析]ビューでエンドポイント メタデータを表示できます。このオプションを使用する場合は、Endpoint Serverにメタデータ転送を構成する必要があります。
  • (オプション2)NetWitness Endpoint 4.4.0.2のMeta IntegratorサービスをLog Decoderに直接統合する[調査]>[ナビゲート]ビューと[イベント分析]ビューで、エンドポイント メタデータを表示できます。NetWitness Endpoint 4.4エージェントのデータは、[調査]>[ホスト]ビューおよび[ファイル]ビューでは利用できません。

NetWitness Endpoint 11.1エージェントが転送するカテゴリに加えて、NetWitness Endpoint 4.4.0.2以降のエージェントでは、ファイル イベント、ネットワーク イベント、レジストリ イベント、およびプロセス イベントのカテゴリも転送されます。

NetWitness Endpoint 4.4.0.2 Console Serverの構成

NetWitness Endpoint 4.4.0.2 Console Serverでのクライアント証明書の構成(オプション1の場合)

NetWitness Endpoint 4.4.0.2 Console Serverは、Endpoint Serverにメタデータを転送するためにNetWitness Endpoint 11.1が使用するのと同じクライアント証明書を使用する必要があります。

  1. エージェント パッケージをダウンロードします。詳細については、「Endpoint Insightsエージェント インストール ガイド」を参照してください。

  2. AgentPackager.zipを解凍し、Configフォルダからクライアント証明書を取得します。

  3. クライアント証明書をNetWitness Endpoint 4.4 Console Serverにコピーします。

    Location of client certificate

  4. clientファイルをダブル クリックします。
    証明書のインポート ウィザード]ダイアログが表示されます。

  5. 保存場所として[ローカル マシン]を選択し、[次へ]をクリックします。
    Select store location

  6. インポートするファイルを参照して[次へ]をクリックします。

  7. エージェント パッケージの生成時に使用したのと同じパスワードを入力します。
    Enter the password

  8. 次へ]をクリックし、[完了]をクリックします。
    証明書が、Console Serverの[個人]、[中間証明書機関]>[証明書]、[信頼されたルート証明機関]の下に追加されます。
    Location to view certificate

NetWitness Endpoint 4.4.0.2でメタデータ転送を有効化(オプション1の場合)

選択したNetWitness Endpoint 4.4.0.2エージェントのメタデータ転送を有効にするには、次のコマンドを実行します。

ConsoleServer.exe /nw-investigate set-endpointdecoder baseuri <ENDPOINT HOST> certificate <CERTIFICATE DISPLAY NAME>
Console server view

例:ConsoleServer.exe /nw-investigate set-endpointdecoder baseuri https://<Ip Address>:443 certificate rsa-nw-endpoint-agent

NetWitness Endpoint 4.4.0.2でLog Decoderへのメタデータ転送を有効化 (オプション2の場合)

選択したNetWitness Endpoint 4.4.0.2エージェントのMetadata Integratorサービスを有効にするには、次のコマンドを実行します。
ConsoleServer.exe /nw-investigate enable.

NetWitness Endpoint 4.4.0.2からNetWitness Endpoint Serverへのメタデータ転送を各マシンで有効化(オプション1と2)

前述のオプションのいずれかを使用してメタデータ転送を有効にした後、各マシンでメタデータ転送を有効にするため、次の手順を実行します。

  1. NetWitness Endpoint 4.4.0.2ユーザ インタフェースを開きます。

  2. 左側のパネルで、[Machines]をクリックします。利用可能なマシンのリストが表示されます。

    List of available machines

  3. NetWitness Endpoint Serverにメタデータを転送するマシンを選択します。

  4. 右クリックし、[NetWitness Investigate]オプションを選択します。
    [Change NetWitness Investigate Status]ダイアログが表示されます。
    Investigate status window

  5. Enable NetWitness Investigate]オプションを選択します。

  6. Apply]をクリックします。

  7. Enable NetWitness Investigate]オプションが有効になっていることを検証するため、ステップ4を繰り返します。

You are here
Table of Contents > NetWitness Endpoint 4.4.0.2以降とNetWitness Endpoint 11.1の統合.1

Attachments

    Outcomes