Collection Windows d'ancienne génération : Les bases

Document created by RSA Information Design and Development on Feb 6, 2017Last modified by RSA Information Design and Development on Feb 9, 2017
Version 2Show Document
  • View in full screen mode
  

Cette rubrique vous indique comment fonctionne le protocole de collecte de l'ancienne génération de Windows, comment le déployer et vous fournit une description de haut niveau du mode de configuration de ce protocole.

Mode de fonctionnement de la collecte Windows d'ancienne génération et NetApp

Utilisez le protocole de collecte de l'ancienne génération de Windows pour configurer Security Analytics afin qu'il collecte les événements issus de :

  • Sources d'événements Microsoft Windows d'ancienne génération (Sources d'événements Window 2003 et de version antérieure)
  • Sources d'événements NetApp

Sources d'événements Windows 2003 et de version antérieure

Les sources d'événements Windows d'ancienne génération sont antérieures aux versions Windows (telles que Windows 2000 et Windows 2003).  Le protocole de collecte de l'ancienne génération de Windows collecte les sources d'événements de Windows qui sont déjà configurées pour une collecte enVision pour éviter d'avoir à les reconfigurer. Configurez ces sources d'événements sous le type de source d'événement windows. 

Sources d'événements NetApp

Les appliances NetApp exécutant Data ONTAP prennent en charge un framework d'audit natif qui est similaire aux serveurs Windows. Une fois configuré, ce framework d'audit génère et enregistre les événements d'audit au format de fichier Windows .evt . Le protocole de collecte de l'ancienne génération de Windows prend en charge la collecte des événements tels que les fichiers NetApp .evt.  Configurez ces sources d'événements sous le type de source d'événement netapp_evt. 

L'appliance NetApp Data ONTAP est configurée pour générer des événements d'audit CIFS et les enregistrer périodiquement au format de fichiers .evt incluant l'horodatage dans le nom de fichier. Pour plus de détails, reportez-vous à la documentation relative à la configuration des sources d'événements NetApp sur SecurCare Online (SCOL). Le protocole de collecte enregistre l'horodatage du dernier nom de fichier au format .evt traité pour suivre l'état de la collecte

Paramètres spécifiques à NetApp

La plupart des paramètres gérés dans la boîte de dialogue Ajouter ou modifier la source s'appliquent à la fois aux sources d'événements Windows d'ancienne génération et NetApp.

Les deux paramètres suivants sont propres aux sources d'événements NetApp.

  • Chemin d'accès au répertoire d'événements - L'appliance NetApp génère des données d'événements et les enregistre dans des fichiers .evt au sein d'un répertoire qu'il est possible de partager sur l'appliance NetApp. Security Analytics requiert que vous spécifiez ce chemin de répertoire dans le paramètre Chemin d'accès au répertoire d'événements.
  • Préfixe des fichiers d'événements - Similaire à Chemin d'accès au répertoire d'événements, Security Analytics requiert que vous spécifiiez le préfixe (par exemple, adtlog.) des fichiers .evt de données d'événements afin que Security Analytics puisse traiter ces données.

Lors de chaque cycle d'interrogation, Log Collector parcourt le chemin partagé NetApp qui a été configuré jusqu'aux fichiers .evt identifiés dans les paramètres Chemin d'accès au répertoire d'événements et Préfixe des fichiers d'événements. Security Analytics :

  • Trie les fichiers correspondants au format event-file-prefix.AAMMJJhhmmss.evt dans l'ordre ascendant.
  • Utilise l'horodatage du dernier fichier traité pour déterminer les fichiers qui doivent encore être traités. Si Security Analytics trouve un fichier traité partiellement, il ignore les événements déjà traités.

Scénario de déploiement

Le protocole de collecte de l'ancienne génération de Windows collecte les événements de données issus des sources d'événements Windows 2003 ou version antérieure, et de l'appliance NetApp ONTAP. Le collecteur distant de l'ancienne génération de Windows correspond au SA Legacy Windows Collector installé sur un serveur 64 bits physique ou virtuel doté de Windows 2008 dans votre domaine de source d'événement.

Windows_Legacy_Mult-Domain_Data_Flow.png

Configurez des protocoles de collecte Windows d'ancienne génération dans Security Analytics.

Vous configurez le Log Collector pour utiliser la collecte d'une source d'événement avec l'ancienne génération de Windows sous l'onglet Source d'événement de la vue des paramètres de Log Collector.  La figure suivante illustre le workflow de base de configuration d'une source d'événement pour la collecte avec l'ancienne génération de Windows dans Security Analytics.  Reportez-vous à :

 

Next Topic:Procédures
You are here
Table of Contents > Guide de configuration de la collecte Windows d'ancienne génération et NetApp > Les bases

Attachments

    Outcomes