Endpoint : Configuration du serveur

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Cette rubrique décrit les tâches générales nécessaires à la configuration du service Serveur Endpoint.

Worklfow describing the Endpoint Hybrid and Endpoing Log Hybrid configuration process

                                       
TâchesDescription
Installer Endpoint Hybrid ou Endpoint Log Hybrid

Consultez le Guide d'Installation des hôtes physiques et le Guide de configuration des hôtes virtuels.

Remarque : Après avoir installé Endpoint Hybrid ou Endpoint Log Hybrid, enregistrez l'adresse IP de l'hôte du serveur Endpoint sur le serveur NW comme suit :
1. Ouvrez une session SSH sur le serveur NW.
2. Accédez au répertoire /opt/rsa/saTools/bin.
cd /opt/rsa/saTools/bin
3. Exécutez le script register-endpoint indiquant l'adresse IP de l'hôte Endpoint.
./register-endpoint-ip -v --host-addr <ip-address>
Le script prend quelques minutes pour mettre à jour l'adresse IP du Serveur Endpoint.

Configurer le transfert de métadonnées pour les agents NetWitness Endpoint 11.1 Comme pour les Logs et les Paquets, vous pouvez afficher les métadonnées Endpoint dans la vue Naviguer et Analyse d'événements. Vous pouvez également générer des rapports et des alertes pour les données Endpoint. Par défaut, l'option Métadonnées Endpoint est désactivée. L'agent doit être installé avec l'option Métadonnées Endpoint activée pour pourvoir transférer les métadonnées.
Installer des agents sur les hôtes

Le programme d'installation d'agents Endpoint est généré à l'aide de l'onglet Packager sous ADMIN > Services > Config > Serveur Endpoint à partir de l'interface utilisateur de NetWitness Suite. Le Packager est un fichier zip contenant des fichiers exécutables et des fichiers de configuration permettant de générer un programme d'installation d'agent pour les systèmes d'exploitation Linux, Mac et Windows. Vous pouvez installer une seule version de l'agent sur un hôte. Si vous disposez d'une version précédente d'un agent installé (par exemple, 4.4), désinstallez cet agent pour installer l'agent 11.1.

Une fois que l'agent est installé, il apparaît dans la vue Enquêter > Hôtes. Par défaut, les données Endpoint sont publiées pour la première fois. Pour collecter les données Endpoint ultérieures, vous devez effectuer une analyse ad hoc ou planifier une analyse. Elle récupère des données telles que les pilotes, processus, DLL, fichiers (exécutables), services, autoruns, informations de sécurité, configurations système et scripts disponibles sur l'hôte.

Si l'agent est configuré pour la collecte des logs, il collecte les fichiers log depuis des hôtes Windows et les transfère vers un Log Decoder ou Remote Log Collector. Pour plus d'informations sur l'installation de l'agent Endpoint, reportez-vous à la section Guide d'installation de l'agent Endpoint Insignts.

Procédure d'enquête sur des données Endpoint

Vous pouvez enquêter sur les données Endpoint dans les vues Enquêter > Hôtes et Enquêter > Fichiers. Pour plus d'informations, consultez le Guide d'utilisation Enquêter.

Configurer la planification de l'analyse

Planifiez une analyse à exécuter de manière quotidienne ou hebdomadaire.

Configurer la rétention de données

Définir des politiques de rétention de données pour stocker et gérer les données Endpoint de manière optimale, en fonction de l'âge des données Endpoint ou de la taille du stockage.

Par défaut, 30 jours de données d'agent sont conservées.

Gérer les agents inactifs Par défaut, les agents (y compris toutes les données Endpoint collectées) qui n'ont pas communiqué avec le serveur Endpoint pendant 90 jours sont automatiquement supprimées.
You are here
Table of Contents > Configuration du Serveur Endpoint

Attachments

    Outcomes