Endpunkt: Serverkonfiguration

Document created by RSA Information Design and Development on Oct 18, 2018
Version 1Show Document
  • View in full screen mode
 

Dieses Thema enthält allgemeine, zur Konfiguration des Services „Endpoint-Server“ erforderliche Aufgaben.

Worklfow describing the Endpoint Hybrid and Endpoing Log Hybrid configuration process

                                       
AufgabenBeschreibung
Installieren von Endpoint Hybrid oder Endpoint Log Hybrid

Siehe hierzu Installationshandbuch für physische Hosts und Leitfaden zur Einrichtung von virtuellen Hosts.

Hinweis: Registrieren Sie nach der Installation von Endpoint Hybrid oder Endpoint Log Hybrid die Host-IP-Adresse des Endpoint-Servers wie folgt mit dem NW-Server:
1. Stellen Sie über SSH eine Verbindung mit dem NW-Server her.
2. Navigieren Sie zum Verzeichnis /opt/rsa/saTools/bin.
cd /opt/rsa/saTools/bin
3. Führen Sie das Skript register-endpoint aus, wobei Sie die Endpoint-Host-IP-Adresse angeben.
./register-endpoint-ip -v --host-addr <ip-address>
Es dauert einige Minuten, bis das Skript die Endpoint-Server-IP-Adresse aktualisiert.

Konfigurieren der Weiterleitung von Metadaten für Agents von NetWitness Endpoint 11.1 Ähnlich wie in NetWitness Logs and Packets können Sie die Endpunktmetadaten in den Ansichten „Navigation“ und „Ereignisanalyse“ anzeigen. Sie können auch Berichte und Warnmeldungen für die Endpunktdaten erzeugen. Die Option „Endpunktmetadaten“ ist standardmäßig deaktiviert. Der Agent muss mit aktivierter Option „Endpunktmetadaten“ installiert sein, um Metadaten weiterleiten zu können.
Installieren von Agents auf Hosts

Das Endpoint Agent-Installationsprogramm wird auf der Registerkarte „Packager“ unter ADMIN > Services > Konfiguration > Endpoint-Server über die NetWitness Suite-Benutzeroberfläche erzeugt. Der Packager ist eine ZIP-Datei, die ausführbare und Konfigurationsdateien zum Erzeugen von Agent-Installationsprogrammen für die Betriebssysteme Linux, Mac und Windows enthält. Sie können auf einem Host nur eine Version des Agent installieren. Wenn eine frühere Version eines Agent installiert ist (z. B. 4.4), deinstallieren Sie diesen Agent, um die Version 11.1 des Agent zu installieren.

Wenn der Agent installiert ist, wird er in der Ansicht Untersuchen > Hosts angezeigt. Standardmäßig werden zum ersten Mal die Endpunktdaten angezeigt. Um nachfolgende Endpunktdaten zu erfassen, müssen Sie entweder einen Scan planen oder einen Ad-Hoc-Scan durchführen. Ein Scan ruft Daten wie Treiber, Prozesse, DLLs, (ausführbare) Dateien, Services, automatische Ausführungen, Sicherheitsinformationen, Systemkonfigurationen und Skripte ab, die auf dem Host gefunden werden.

Wenn der Agent für die Protokollsammlung konfiguriert ist, sammelt der der Scan Protokolle von Windows-Hosts und leitet sie an einen Log Decoder oder Remote Log Decoder weiter. Weitere Informationen zur Installation des Endpunkt-Agent finden Sie im Endpoint Insights Agent-Installationshandbuch.

Untersuchen von Endpunktdaten

Sie können die Endpunktdaten in den Ansichten Untersuchen > Hosts und Untersuchen > Dateien untersuchen. Weitere Informationen finden Sie im Leitfaden zu Investigate.

Konfigurieren der Scanplanung

Planen Sie einen Scan so, dass er täglich oder wöchentlich ausgeführt wird.

Konfigurieren der Datenaufbewahrungs-Policy

Definieren Sie Datenaufbewahrungs-Policies, um die Endpunktdaten basierend auf ihrem Alter oder der Größe des Speichers optimal zu speichern und zu managen.

Standardmäßig werden die Agent-Daten von 30 Tagen aufbewahrt.

Inaktive Agents managen Standardmäßig werden Agents (einschließlich aller erfassten Endpunktdaten), die seit 90 Tagen nicht mehr mit dem Endpoint-Server kommuniziert haben, automatisch gelöscht.
You are here
Table of Contents > Endpoint Server Configuration

Attachments

    Outcomes