넷위트니스

구독
다운로드 61
업데이트 2023. 8. 10.

설치 매뉴얼

구동 환경

  • RSA 넷위트니스 11.1 버전 이상
    • 11.2.1 동작 확인
    • 11.3.1.1 동작 확인
    • 11.7 동작 확인

넷위트니스 설정

RSA 넷위트니스 ADMIN 메뉴의 Services 메뉴를 클릭하면 전체 서비스 목록이 나열됩니다. 목록에서 Netwitness Decoder 항목을 찾아 톱니바퀴 버튼을 클릭하고, View > Security를 클릭합니다.

아래와 같이 REST API 호출용 계정을 추가합니다.

이제 넷위트니스 디코더 IP 주소를 확인해야 합니다. ADMIN 대메뉴 클릭 후 Hosts 메뉴를 클릭하면 아래와 같이 서비스별 IP 주소를 확인할 수 있습니다.

웹 브라우저에서 아래와 같이 SDK 페이지에 접속되는지 확인합니다. 위의 예시에서는 디코더 IP가 172.20.36.152 이므로 http://172.20.36.152:50104 URL로 접속하여 방금 설정한 계정과 암호로 로그인 후에 SDK 테스트 페이지가 나오는지 확인해야 합니다.

로그프레소 서버와 RSA 넷위트니스 디코더 사이의 방화벽 접속이 차단되지 않았는지 검증합니다. 예를 들면 아래와 같이 로그프레소 쉘에서 확인할 수 있습니다.

logpresso> tcpscan 172.20.36.152 50104
trying to connect /172.20.36.152:50104
opened

만약 opened 로 확인되지 않는다면 로그프레소 서버에서 RSA 넷위트니스 디코더 포트에 접속하지 못하는 원인이 있으므로 방화벽 정책부터 다시 확인합니다.

로그프레소 설정

접속 프로파일에서 넷위트니스 접속 정보를 설정합니다.

설정이 완료되면 넷위트니스 쿼리를 사용하여 패킷을 조회하거나, 플레이북 태스크에 넷위트니스 파일 다운로드 태스크를 설정할 수 있습니다.