Live : Créer et gérer un feed d'identité

Document created by RSA Information Design and Development on Feb 6, 2017
Version 1Show Document
  • View in full screen mode
  

Vous pouvez facilement créer un feed d'identité et le renseigner dans les Decoders et Log Decoders. À la fin de cette procédure, vous aurez créé un feed d'identité.

Conditions préalables

Dans le but de créer un feed d'identité, il vous faut : 

  • Le service Log Collector avec le processeur d'événements Identity Feed
  • Le service Log Collector avec la collection Windows configurée et activée.

Créer un feed d'identité

  1. Dans le menu Security Analytics, sélectionnez Live > Feeds.

    La grille Feeds s'affiche.

    idfeed1.png

  2. Dans la barre d'outils, cliquez sur add.png.

    La boîte de dialogue Configurer le feed s'affiche, avec Identity Feed sélectionné par défaut.

    104SetupIdentityFeed.png

  3. Sélectionnez Feed d'identité, puis cliquez sur Suivant.

    Le panneau Configurer Identity Feed s'ouvre avec l'onglet Définir le feed affiché.

  4. (Conditionnel) Vous pouvez créer un feed à la demande ou récurrent.

    • Pour définir une tâche de feed d'identité à la demande qui s'exécute une fois, sélectionnez Adhoc dans le champ Type de tâche par défaut, saisissez le nom du feed, accédez-y, puis ouvrez-le.
    • Pour définir une tâche Identity Feed récurrente qui s'exécute de manière répétée, sélectionnez Récurrent dans le champ Type de tâche par défaut.

      Le formulaire Définir le feed comprend les champs pour un feed récurrent.

      conf_id_feed1.png

      Remarque : Security Analytics vérifie l'emplacement de stockage du fichier pour pouvoir rechercher automatiquement le dernier fichier avant chaque récurrence.

      Dans le champ URL, saisissez l'URL de l'emplacement du fichier de données de feed. Par exemple :

      http://<LogCollector>:50101/event-processors/<ID Event processor name>?msg=getFile&force-content-type=application/octet-stream&expiry=600

  5. (Facultatif) Si l'URL présente un accès restreint et requiert une authentification à l'aide de votre nom d'utilisateur et mot de passe, sélectionnez Authentifié. Security Analytics fournit votre nom d'utilisateur et mot de passe pour l'authentification auprès de l'URL.
  6. Pour définir l'intervalle de récurrence, effectuez l'une des opérations suivantes :

    • Spécifiez le nombre de minutes, d'heures ou de jours entre les récurrences du champ.
    • Pour définir la période pour l'exécution récurrente du feed, spécifiez la Date de début et l'heure, ainsi que la Date de fin et l'heure.
  7. Cliquez sur Vérifier pour vérifier votre configuration du feed identité avant de procéder au formulaire Sélectionner des services.
  8. Cliquez sur Suivant.

    Le formulaire Sélectionner des services s'affiche.

    104CIFSelectServices.png

  9. Pour identifier les services sur lesquels déployer le feed, sélectionnez un ou plusieurs Decoders et Log Decoders, puis cliquez sur Suivant.
  10. Cliquez sur l'onglet Groupes, sélectionnez un groupe, puis cliquez sur Suivant.

    Le formulaire Révision s'affiche.

    104CIFReview.png

    Remarque : Si un groupe de périphériques avec des Decoders et Log Decoders est utilisé pour créer des feeds récurrents ou personnalisés, vous pouvez modifier le feed et ajouter un nouveau groupe au feed.

  11. À tout moment avant de cliquer sur Terminer, vous pouvez :

    • Cliquez sur Annuler pour fermer l'assistant sans enregistrer votre définition de feed.
    • Cliquez sur Réinitialiser pour effacer les données de l'assistant.
    • Cliquez sur Suivant pour afficher le formulaire suivant (si ce n'est pas le dernier formulaire).
    • Cliquez sur Précédent pour afficher le formulaire précédent (si ce n'est pas le premier formulaire).
  12. Passez en revue les informations du feed et, si elles sont correctes, cliquez sur Terminer.

Lorsque le fichier de définition de feed a été créé avec succès, l'assistant Créer un feed se ferme. Le feed et le fichier de token correspondant sont répertoriés dans la grille de feed et la barre de progression indique l'avancement. Vous pouvez développer ou réduire l'entrée pour voir combien de services sont inclus, et quels services ont abouti.

104AddedCustomFeed.png

Examiner un feed d'identité

Un feed d'identité effectue le suivi des événements de connexion interactive à partir d'un système d'exploitation Windows. Les feeds d'identité n'effectuent pas le suivi des événements de déconnexion interactifs. 

Pour qu'un feed d'identité traite des événements et y appose des balises, les événements doivent être collectés à l'aide d'un module Windows Log Collection où un Contrôleur de domaine actif/Contrôleur de nondomaine est configuré. Remarquez que les feeds d'identité ne peuvent être traités que via un Processeur d'événements Identity Feed. 

Remarque : Un feed d'identité n'effectue le suivi que d'un fichier log à la fois. Si deux utilisateurs se connectent à un système en même temps, les données du second utilisateur remplacent celles du premier dans le feed d'identité.  

Lorsque vous avez créé un feed d'identité, vous pouvez afficher les résultats en examinant le feed.

Pour examiner un feed d'identité configuré :

  1. Accédez au menu Security Analytics.
  2. Sélectionnez Examiner > Naviguer.

    L'écran Procédure d'enquête s'affiche.

    invest_event.png

  3. Sélectionnez Conc (Concentrator) et sélectionnez Naviguer.
  4. Sélectionnez Charger les valeurs pour récupérer les clés méta.

Dans le panneau inférieur, faites défiler pour trouver les clés méta indiquées dans l'illustration suivante.

active.PNG

Le feed d'identité donne des informations sur les Decoders et Log Decoders « sélectionnés ». Il associe les données IP de l'hôte entre le système d'exploitation Windows et l'utilisateur qui se connecte à cet hôte afin de baliser tous les logs associés à cette adresse IP et de procéder à l'enquête.

Next Topic:Modifier un feed
You are here
Table of Contents > Procédures supplémentaires > Gérer les feeds personnalisés > Créer un feed d'identité

Attachments

    Outcomes