Endpunkt: Integrieren von NetWitness Endpoint 4.4.0.2 oder höher in NetWitness Endpoint 11.1

Document created by RSA Information Design and Development on Oct 18, 2018
Version 1Show Document
  • View in full screen mode
 

Sie können die Endpunktmetadaten für NetWitness Endpoint 4.4.0.2 auf eine der folgenden Arten konfigurieren:

  • (Option 1) Integrieren Sie den NetWitness Endpoint 4.4.0.2-Konsolenserver in einen Endpoint Hybrid- oder Endpoint Log Hybrid-Host. Die Daten der Agents von NetWitness Endpoint 4.4.0.2 oder höher stehen in den Ansichten Untersuchen > Hosts sowie Dateien zur Verfügung. Die Endpunktmetadaten können Sie in den Ansichten Untersuchen > Navigation und Ereignisanalyse anzeigen. Stellen Sie für diese Option sicher, dass der Endpoint-Server für die Weiterleitung von Metadaten konfiguriert ist.
  • (Option 2) Integrieren den Service „Meta Integrator“ in NetWitness Endpoint 4.4.0.2 direkt in einen Log Decoder. Sie können die Endpunktmetadaten in den Ansichten Untersuchen > Navigation und Ereignisanalyse anzeigen. Die Daten der Agents von NetWitness Endpoint 4.4 sind in den Ansichten Untersuchen > Hosts sowie Dateien nicht verfügbar.

Zusätzlich zu den für die Agents von NetWitness Endpoint 11.1 genannten Kategorien werden für die Agents von NetWitness Endpoint 4.4.0.2 oder höher auch die folgenden Kategorien weitergeleitet: Datei-, Netzwerk-, Registrierungs- und Prozessereignis.

Konfigurieren des NetWitness Endpoint 4.4.0.2-Konsolenservers

Konfigurieren des Clientzertifikats auf dem NetWitness Endpoint 4.4.0.2-Konsolenserver (für Option 1)

Der NetWitness Endpoint 4.4.0.2-Konsolenserver muss dasselbe Clientzertifikat verwenden, das auch die Agents von NetWitness Endpoint 11.1 verwenden, um die Metadaten an den Endpoint-Server weiterzuleiten.

  1. Laden Sie den Agent-Packager herunter. Weitere Informationen finden Sie im Endpoint Insights Agent-Installationshandbuch.

  2. Extrahieren Sie die Datei AgentPackager.zip und beziehen Sie aus dem Ordner „Config“ das Clientzertifikat.

  3. Kopieren Sie das Clientzertifikat auf den NetWitness Endpoint 4.4-Konsolenserver.

    Location of client certificate

  4. Doppelklicken Sie auf die Datei client.
    Das Dialogfeld Certificate Import Wizard wird angezeigt.

  5. Wählen Sie als Speicherort Lokaler Rechner aus und klicken Sie auf Weiter.
    Select store location

  6. Suchen Sie die Datei, die Sie importieren möchten, und klicken Sie auf Weiter.

  7. Geben Sie das gleiche Passwort ein, das Sie beim Erzeugen des Agent-Packager verwendet haben.
    Enter the password

  8. Klicken Sie auf Weiter und dann auf Fertigstellen.
    Das Zertifikat wird unter Persönlich, Zwischenzertifizierungsstelle > Zertifikat und Vertrauenswürdige Stammzertifizierungsstellen auf dem Konsolenserver gelistet.
    Location to view certificate

Aktivieren der Weiterleitung von Metadaten in NetWitness Endpoint 4.4.0.2 (für Option 1)

Um die Weiterleitung von Metadaten für die ausgewählten Agents von NetWitness Endpoint 4.4.0.2 zu aktivieren, führen Sie den folgenden Befehl aus:

ConsoleServer.exe /nw-investigate set-endpointdecoder baseuri <ENDPOINT HOST> certificate <CERTIFICATE DISPLAY NAME>
Console server view

Beispiel: ConsoleServer.exe /nw-investigate set-endpointdecoder baseuri https://<Ip Address>:443 certificate rsa-nw-endpoint-agent

Aktivieren der Weiterleitung der Metadaten von NetWitness Endpoint 4.4.0.2 zum Log Decoder (für Option 2)

Um den Service „Metadata Integrator“ für die ausgewählten Agents von NetWitness Endpoint 4.4.0.2 zu aktivieren, führen Sie den folgenden Befehl aus:
ConsoleServer.exe /nw-investigate enable.

Aktivieren von Rechnern zur Weiterleitung von Metadaten von NetWitness Endpoint 4.4.0.2 zum NetWitness Endpoint-Server (für Optionen 1 und 2)

Nachdem Sie eine der oben genannten Optionen verwendet haben, um die Weiterleitung von Metadaten zu aktivieren, gehen Sie folgendermaßen vor, um die Rechner zur Weiterleitung von Metadaten zu aktivieren.

  1. Öffnen Sie die Benutzeroberfläche von NetWitness Endpoint 4.4.0.2.

  2. Klicken Sie im linken Bereich auf Rechner. Die Liste der verfügbaren Rechner werden angezeigt.

    List of available machines

  3. Wählen Sie die Rechner aus, für die Sie Metadaten zum NetWitness Endpoint-Server weiterleiten möchten.

  4. Klicken Sie mit der rechten Maustaste und wählen Sie die Option NetWitness Investigate aus.
    Das Dialogfeld „Status von NetWitness Investigate ändern“ wird angezeigt.
    Investigate status window

  5. Wählen Sie die Option NetWitness Investigate aktivieren aus.

  6. Klicken Sie auf Anwenden.

  7. Um zu überprüfen, ob die Option NetWitness Investigate aktivieren aktiviert ist, wiederholen Sie Schritt 4.

Previous Topic:Manage Inactive Agents
You are here
Table of Contents > Integrating NetWitness Endpoint 4.4.0.2 with NetWitness Endpoint 11.1

Attachments

    Outcomes